网络安全研究人员揭示了两款不同的安卓木马 ——BankBot-YNRK 与 DeliveryRAT,它们能够从受感染设备中窃取敏感数据。
据对 BankBot-YNRK 三个不同样本展开分析的 CYFIRMA(安全公司)介绍,该恶意软件具备规避分析的功能:首先会检测自身是否运行在虚拟化或仿真环境中,随后提取设备制造商、型号名称等信息,确认是否处于真实设备上。
BankBot-YNRK 还会检测设备是否为 OPPO 品牌,或是否运行 ColorOS 系统。
CYFIRMA 表示:“该恶意软件还包含识别特定设备的逻辑,会验证设备是否为谷歌 Pixel 或三星机型,并检查其型号是否在预设的‘已识别 / 支持型号列表’中。这使得恶意软件仅对目标设备启用特定功能或优化,避免在未识别型号上执行。”
传播该恶意软件的 APK 安装包名称如下。三款应用均以 “IdentitasKependudukanDigital.apk” 命名,这一名称疑似试图仿冒印尼官方应用 “数字居民身份”(Identitas Kependudukan Digital)。
- com.westpacb4a.payqingynrk1b4a
- com.westpacf78.payqingynrk1f78
- com.westpac91a.payqingynrk191a
恶意应用安装后,设计用途包括窃取设备信息,并将音乐、铃声、通知等各类音频流音量调至零,防止受影响用户收到来电、短信及其他应用内通知的提醒。
该恶意软件还会与远程服务器(“ping.ynrkone [.] top”)建立通信,收到 “OPEN_ACCESSIBILITY”(开启辅助功能)指令后,会诱导用户启用辅助功能以实现自身目的,包括获取更高权限及执行恶意操作。
不过,该恶意软件仅能针对安卓 13 及以下版本设备发起攻击。2023 年底推出的安卓 14 新增了一项安全功能,禁止通过辅助功能自动申请或授予应用额外权限。
CYFIRMA 指出:“在安卓 13 及以前版本中,应用可通过辅助功能绕过权限请求;但在安卓 14 中,这种行为已无法实现,用户必须通过系统界面直接授予权限。”
BankBot-YNRK 利用安卓的 JobScheduler 服务在设备上实现持久化,确保设备重启后仍能启动。它还支持多种指令,可获取设备管理员权限、管理应用、与设备交互、通过 MMI 代码转接来电、拍摄照片、执行文件操作,以及窃取联系人、短信、位置信息、已安装应用列表和剪贴板内容。
该恶意软件的其他部分功能如下:
- 通过程序篡改应用名称与图标仿冒 “谷歌新闻”,并通过 WebView(网页视图)打开 “news.google [.] com”;
- 捕获屏幕内容,重建银行应用等程序的 “框架 UI”(skeleton UI),为窃取账号密码提供便利;
- 滥用辅助功能打开预设列表中的加密货币钱包应用,自动执行 UI 操作以收集敏感数据并发起未授权交易;
- 获取 62 款待攻击金融应用的列表;
- 显示 “个人信息正在验证” 的悬浮提示,同时执行恶意操作,包括为自身申请额外权限、将自身添加为设备管理员应用。
CYFIRMA 表示:“BankBot-YNRK 具备全面功能,旨在对受感染安卓设备实现长期控制、窃取金融数据并执行欺诈交易。”
与此同时,F6(安全机构)披露,威胁分子正分发 DeliveryRAT 的更新版本,以外卖服务、电商平台、银行服务及包裹追踪应用为伪装,针对俄罗斯安卓用户。据评估,这一移动威胁自 2024 年年中起开始活跃。
这家俄罗斯安全公司称,该恶意软件通过 “恶意软件即服务”(MaaS)模式传播,依托名为 “Bonvi Team” 的 Telegram 机器人,用户可通过该机器人获取 APK 文件或分发恶意软件的钓鱼链接。
随后,威胁分子会通过 Telegram 等即时通讯工具联系受害者,以 “跟踪虚假电商平台订单” 或 “获取远程工作机会” 为由,诱导受害者下载恶意应用。无论采用何种方式,该应用都会请求获取通知权限与电池优化设置权限,以便收集敏感数据并在后台持续运行而不被终止。
此外,这款恶意应用还能访问短信与通话记录,并在手机桌面启动器(home screen launcher)中隐藏自身图标,导致非技术用户难以将其从设备中卸载。
部分版本的 DeliveryRAT 还具备发起分布式拒绝服务(DDoS)攻击的能力,具体方式包括:向外部服务器传输的 URL 链接发送并发请求,或诱导用户扫描二维码以捕获数据。
这两款安卓恶意软件家族的发现,恰逢 Zimperium(移动安全公司)发布一份报告。该报告显示,自 2024 年 4 月以来,已发现超 760 款安卓应用滥用近场通信(NFC)技术,非法获取支付数据并发送给远程攻击者。
这些仿冒金融应用的虚假程序会诱导用户将其设为默认支付方式,同时利用安卓的主机卡模拟(HCE)功能,窃取非接触式信用卡及支付数据。
这些信息会被传输至威胁分子运营的 Telegram 频道或专用监听应用(tapper app)。随后,被盗 NFC 数据会被用于即时从用户账户提现,或在销售点(PoS)终端消费。
这家移动安全公司表示:“已有约 20 家机构被仿冒,主要是俄罗斯的银行与金融服务机构,同时也包括巴西、波兰、捷克共和国及斯洛伐克的机构。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容