關(guān)鍵詞 惡意軟件

　　Cleafy 的網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一種新的 Android 銀行木馬，它能夠通過濫用 ATS 來規(guī)避多因素身份驗證控制。

　　10 月底，來自 Cleafy 的網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了該惡意軟件，該惡意軟件似乎不屬于任何已知家族。

　　現(xiàn)在被稱為 SharkBot的 Android 惡意軟件已被追蹤，其攻擊重點是從運行谷歌 Android 操作系統(tǒng)的易受攻擊的手機中竊取資金。

　　到目前為止，已經(jīng)在英國、意大利和美國發(fā)現(xiàn)了感染。

　　相信SharkBot很可能是一個私有僵尸網(wǎng)絡(luò)，目前仍處于早期發(fā)展階段。

　　研究人員稱，SharkBot 是模塊化惡意軟件，屬于能夠基于自動傳輸系統(tǒng) （ATS） 系統(tǒng)執(zhí)行攻擊的下一代移動惡意軟件。

　　ATS 允許攻擊者以最少的人工輸入自動填寫受感染設(shè)備上的字段。與 Gustuff 銀行木馬相同，啟動自動填充服務(wù)以促進通過合法金融服務(wù)應(yīng)用程序進行欺詐性資金轉(zhuǎn)移——這是惡意軟件開發(fā)的總體趨勢，也是手機上舊盜竊技術(shù)（例如使用網(wǎng)絡(luò)釣魚）的一個支點域。

　　Cleafy 建議 SharkBot 使用這種技術(shù)來試圖繞過行為分析、生物特征檢查和多因素身份驗證 （MFA）——因為不需要注冊新設(shè)備。然而，為了做到這一點，惡意軟件必須首先破壞 Android 無障礙服務(wù)。

　　一旦在 Android 手機上執(zhí)行，SharkBot 將立即請求可訪問權(quán)限——并會用彈出窗口困擾受害者，直到獲得批準(zhǔn)。

　　不顯示安裝圖標(biāo)。現(xiàn)在有了它需要的所有手機權(quán)限，SharkBot 將悄悄地執(zhí)行標(biāo)準(zhǔn)的窗口覆蓋攻擊，以竊取憑據(jù)和信用卡信息、基于 ATS 的盜竊，并且還能夠鍵入日志并攔截或隱藏傳入的 SMS 消息。

　　研究人員表示，銀行木馬還能夠代表受害者執(zhí)行“手勢”。

　　國際銀行和加密貨幣服務(wù)提供的應(yīng)用程序正在成為目標(biāo)。

　　一線希望是在官方 Android 應(yīng)用程序存儲庫 Google Play 商店中沒有找到任何示例。相反，惡意軟件必須通過旁加載從外部源加載——供應(yīng)商警告的這種做法可能很危險，因為這允許惡意應(yīng)用程序繞過 Google Play 安全控制。

　　在撰寫本文時，SharkBot 的防病毒解決方案檢測率很低。

　　Cleafy 說：“隨著 SharkBot 的發(fā)現(xiàn)，我們展示了移動惡意軟件如何快速尋找新的欺詐方法，試圖繞過多家銀行和金融服務(wù)機構(gòu)在過去幾年實施的行為檢測對策的新證據(jù)?！?“就像過去幾年工作站惡意軟件的演變一樣，在移動領(lǐng)域，我們看到了向 ATS 攻擊等更復(fù)雜模式的快速演變?！?/p>