开发者社区> 美人迟暮> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

打开手机电筒就泄露了银行卡密码?

简介:
+关注继续查看

打开手机电筒就泄露了银行卡密码?





据ESET(总部位于斯洛伐克布拉迪斯拉发的一家世界知名的电脑安全软件公司,创立于1992年)4月19日官方报道,一个具有自动锁屏功能的银行恶意软件近期伪装成Google Play上的手电筒应用,广大安卓用户成为了它的狩猎目标乃至囊中之物。与其它静态式的银行业务木马不同,该木马能够动态地调整自身功能。


除了用来作掩护的手电筒功能之外,这种利用远程控制的木马还具有很多附加功能,最终目的就是窃取用户的银行账户信息。该木马可以通过C&C服务器命令模拟真实应用的界面,锁住受感染设备,避免受害者发现恶意活动,拦截短信并显示伪造的通知,最终达到绕过双因素身份验证的目的。


这种恶意软件能够感染安卓系统的所有版本。而且由于功能动态变化的特点,它不会受限于应用程序的类型——只需获得安装在受害设备上应用程序的HTML代码,在启动该应用后用HTML代码伪造的虚假屏幕覆盖掉就可以了。


ESET公司检测到的Trojan.Android/Charger.B的特洛伊木马于3月30日被背后的操纵者上传至Google Play,截至ESET4月10日发布正式通知前,大约已经有5000多名不知情的用户下载安装了该木马病毒。


Google Play上的木马程


它是如何运作的?

一旦安装并启动了这个木马程序,它就会请求获得受害设备的管理员权限。使用安卓6.0或更高版本的用户还需手动设置使用权限并开启“draw over other apps(允许在其他应用的上层显示)”的功能。获得权限与许可后,该程序就会自动隐藏图标,以插件的形式在设备上显示。


实际的有效负载已经在Google Play的APK文件资源中加密,这种处理方式能够避免其恶意功能被发现。当受害者运行该应用时,有效载荷也会自动解密并执行攻击任务。


木马首先会将受感染的设备注册到攻击者的服务器上。除了发送设备信息和设备上所安装的应用程序信息之外,它还能获取设备前置摄像头所拍摄的照片。


如果信息显示这台设备位于俄罗斯、乌克兰或白俄罗斯,C&C服务器就会自动停止攻击活动,唯一的可能性就是该恶意程序的所有者希望避免来自本国攻击者的控诉。


根据受感染设备上安装的应用程序列表,C&C以恶意HTML代码的形式发送相应的虚假活动。受害者只要启动其中一个目标应用程序,HTML就会在WebView中显示。紧接着,真实应用的界面就被伪造的界面所覆盖,该界面要求用户输入信用卡信息或银行应用的登录凭据等。


那么哪些应用容易被这种木马盯上?这个问题也许是无解的。因为不同设备所安装的应用不同,窃取的HTML代码也不同。据调查,已经发现存在虚假界面的应用程序有以下这些:Commbank、NAB、Westpac手机银行、Facebook、WhatsApp、Instagram和Google Play。


伪造界面上的登录凭据都会以不加密的方式发送到攻击者的C&C服务器上。


至于设备被锁住的问题,ESET猜测这项功能会在攻击者从受害银行账户提现时自动启用。攻击者通过一个虚假的外观更新界面来隐藏自己的欺诈活动,以免受害者发现恶意活动、加以干预。


在受感染在被感染设备上找到的模仿真实应用的钓鱼界面



用于锁定受感染设备的虚假系统界面


该木马滥用Firebase Cloud Messages(FCM)与C&C服务器进行通信,这是我们第一次发现安卓恶意软件使用了这种通信渠道。


研究显示,该应用是Android/Charger的改良版,由Check Point研究人员于2017年1月首次发现。第一个版本主要通过锁住设备并进行勒索的方式对受害者进行直接敲诈,但是现在Charger背后的恶意黑客改用钓鱼的方式,目标直接锁定受害者的银行信息——这种演变在安卓恶意软件家族中十分少见。


Android/Charger.B使用的是虚假的登录界面与设备锁定功能,这与我们二月份发现并分析的银行业务恶意软件存在一定相似之处。但为什么说这次发现的木马更加危险呢?因为与一般恶意软件中的硬编码不同,它的攻击目标是动态变化、毫无限制的!


你的设备是否受到了感染?如何清除?

如果你刚好最近从Google Play下载了手电筒应用,那么你就需要检查下是否无意中碰到过这种木马程序。

恶意应用可以在设置>应用程序管理/应用>手电筒插件中找到。

应用程序管理器中的恶意软件


找到这个恶意程序很简单,但是要想卸载它就比较头疼了。该木马通过禁止用户关闭活动的设备管理器(卸载app的必要步骤)的方式防止受害者卸载。如果我们选择停用选项,屏幕会弹出一个只能点击“激活”选项的弹框——恶意程序惯用的流氓手段。


遇到这样的情况时,首先可以将设备调至安全模式,再参照下面的视频完成卸载。https://v.qq.com/x/page/m0397bnnr1e.html


如何预防?

避免恶意软件带来伤害的关键说到底还是预防。


下载应用时我们应尽可能地选择官方应用商店。尽管Google Play也存在漏网之鱼,但它的确采取了高级的安全防御机制来抵制恶意软件,而很多不规范的应用商店都做不到这一点。


如果你对想要安装的应用程序不放心,可以通过查看该应用的安装次数、评分和评论内容再作决定。


安装并运行某个应用后,一定要注意它所请求获得的设备权限。如果它要求的权限超过了功能所需(如手电筒应用却要求获得设备管理员的权限),那么这时候你就需要慎重考虑了。


当然最后一点,我们也可以选择一家值得信赖的安全服务供应商来保护我们的设备,避免最新的威胁造成不可估量的损失!


已分析样本

数据包名称:com.flashscary.widget

哈希值:CA04233F2D896A59B718E19B13E3510017420A6D

检测结果:Android/Charger.B



本文来自合作伙伴“阿里聚安全”,发表于2017年05月02日 10:23.

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
面向未来的Web Components UI组件库
面向未来的Web Components UI组件库
172 0
【STM32 .NET MF开发板学习-29】摄像头蓝牙图像远程获取
目前M3的开发板,虽然前段时间可以支持WPF了,但是SRAM毕竟还是有限,所以从串口摄像头直接获取的jpg图像,并不能在LCD屏上显示出来(在模拟器上没有这个问题,可以直接呈现),所以我借助蓝牙接口,把另一个串口获取的图像数据发送到一台带蓝牙的PC上,PC上的程序否则实现数据接收,并把图像呈现出来。
615 0
CTF---密码学入门第六题 古典密码
古典密码分值:10 来源: 北邮天枢战队 难度:易 参与人数:5115人 Get Flag:1549人 答题人数:1783人 解题通过率:87% 密文内容如下{79 67 85 123 67 70 84 69 76 88 79 85 89 68 69 67 8...
1753 0
洛谷 P1914 小书童——密码【字符串+模拟】
P1914 小书童——密码 题目背景 某蒟蒻迷上了“小书童”,有一天登陆时忘记密码了(他没绑定邮箱or手机),于是便把问题抛给了神犇你。 题目描述 蒟蒻虽然忘记密码,但他还记得密码是由一串字母组成。
1435 0
MySQL 5.7以上 root用户默认密码问题
  废话少说一句话系列: CentOS系统用yum安装MySQL的朋友,请使用 grep "temporary password" /var/log/mysqld.log 命令,返回结果最后引号后面的字符串就是root的默认密码。
1317 0
+关注
美人迟暮
Nothing for nothing.
1018
文章
212
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载