安卓银行木马新增“keylogger”功能，攻击能力倍增

网络犯罪者们在实施犯罪时，已经变得越来越熟练，攻击也越来越隐秘，攻击方式也越来越新颖。现如今，他们正在慢慢的从传统攻击方式向隐秘性攻击技术转变，需要的攻击载体越来越少，攻击更难被检测。

上个月中旬，卡巴斯基实验室高级恶意软件分析师RomanUnuchek发现，著名的安卓银行木马Svpeng利用了安卓

Accessibility Services（辅助功能）的优势，新增加了键盘记录功能，也就是说攻击者通过受害者敲击输入框的情况就能窃取敏感信息了。

木马利用Accessibility Services增加键盘记录功能

首先来简单描述下什么是Accessibility Services（辅助功能）。Accessibility Services是安卓专门为那些听力、视力或者其它身体原因导致无法正常使用手机的用户增加的一个功能，Accessibility Services支持文字转语音(不支持中文)、触觉反馈、手势操作、轨迹球和手柄操作等，除此之外，开发者还可以自定义一些功能，目的都是为了更方便快捷的使用安卓设备。

其次，我们再来聊聊这次银行木马新增加的功能。Svpeng增加了键盘记录功能后，不仅可以窃取通过设备已安装软件输入的文本信息（包括登录信息，搜索文本），还能给自己增加更多的权限，以防止受害者拒绝安装木马。

一个月前，安全研究员还发现了另外一起利用Accessibility Services的攻击，叫做Cloak&Dagger攻击。攻击者可以悄悄获得设备的完全控制权限，从而窃取敏感数据。

俄罗斯人拥有天然的防护衣

尽管这一新变种的木马还没有广泛传播起来，但是一周时间内，它已经出现在23个国家，包括俄罗斯、德国、土耳其、波兰、发过。值得一提的是，目前为止大部分受害者均来自俄罗斯，但是攻击者并没有对这些俄罗斯受害者实施实质性的攻击。

Unuchek解释到，Svpeng感染设备后，首先检查的是设备语言。如果设备语言为俄语，木马就会停止进一步的攻击。所以以此推断，Svpeng幕后的攻击者为俄罗斯人，害怕触犯俄罗斯法律，所以不愿意进一步攻击俄罗斯受害者。

Svpeng是怎么展开攻击的呢？

上个月，Unuchek发现Svpeng是通过伪装成Flash Player进行传播。一旦在受害者设备上安装成功，Svpeng首先会检测设备语言，如果语言会俄语，则停止攻击；如果语言不是俄语，则会利用Accessibility Services展开攻击。

借助于Accessibility Services，木马可以把自己的权限提升至管理员权限，然后伪装成合法应用。Svpeng还可以给自己增加更多的权限，比如拨打电话、发送接收短信、读取通讯录。更为可怕的是，受害者即使发现了端倪也无法取消其管理员权限。

Svpeng获得权限之后，便可窃取在设备上输入的文本信息，甚至还可以实施截屏操作。随后这些信息会被上传至攻击者的C&C服务器上，Unuchek成功拦截了其中一个加密文件。解密文件发现了Svpeng众多攻击对象，比如英国、德国、土耳其、澳大利亚、法国、波兰、新加坡等地的银行、PayPal、eBay。该文件允许恶意软件执行各种操作，比如发送短信，收集通讯录信息、安装软件信息、通话记录、通信记录。

怎样保护自己的手机不被黑客攻破？

Svpeng非常狡猾，即便用户已经将自己的手机更新至最新系统，但是它依然可以保留在用户手机上。所以作者给出了如下建议帮助用户免受攻击：

1.  所有的软件都要从可信任来源处下载，比如Google Play，Apple App
2.  在安装软件之前，确认软件是否会获取你的敏感信息
3.  不连接不安全的WIFI热点
4.  不点击短信、彩信、邮件中的链接
5.  安装有用的杀毒软件