行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
装有银行木马的双因素认证应用通过Google Play攻击了一万名用户
2022-02-06 20:57:44 【

一个恶意的双因素认证(2FA)应用程序在上架两个多星期之后,已经从Google Play中删除了。但在此之前它已经被下载了超过10,000次。作为一款2FA认证器,这款应用功能齐全,但却加载了Vultur窃取器恶意软件。该软件以用户的金融数据为攻击目标,并可能对其造成重大破坏。

Pradeo公司的研究人员建议使用该恶意应用程序(名为 "2FA认证器")的用户立即从他们的设备中删除该应用程序,因为他们的信息很可能会被攻击。该应用程序所获得的其他权限也可能会带来其他的攻击。

威胁者开发了一个可控制的、伪装精致的应用程序来投放恶意软件,并且使用开源的Aegis认证代码注入恶意的附加组件。根据Pradeo周四发布的一份报告,这些特点有助于它通过Google Play传播而不易被发现。

报告补充说:"因此,该恶意应用程序成功地伪装成了一个认证工具,这样可以确保它不会轻易被人发现。”

Vultur银行木马获取了更多权限

一旦应用程序被下载,该应用程序就会安装Vultur银行木马,它可以窃取被攻击设备上的银行数据,除此之外,其实还可以做很多事情。

Vultur远程访问特洛伊木马(RAT)恶意软件在去年3月首次被ThreatFabric的分析师发现,它是第一个使用键盘记录和屏幕记录来盗窃银行数据的软件,该功能使该组织能够自动收集用户的凭证。

ThreatFabric当时说,攻击者没有选择使用我们通常在其他安卓银行木马中看到的HTML覆盖策略,这种方法通常需要攻击者花费更多的时间和精力,才可以从用户那里窃取到信息。相反,他们选择使用了更为简单的记录屏幕上显示的内容的方法,同样能够有效地获得相同的结果。

Pradeo团队说,这个骗局中使用的2FA认证器除了需要Google Play资料中所标注的设备权限外,它还要求更多权限。

除了具有银行木马的功能外,获取的各种高级权限能够使攻击者执行更多的功能。例如,报告解释说,访问用户的位置数据,这样就可以针对特定地区的用户进行攻击;禁用设备锁和密码安全功能、下载第三方应用程序、以及接管设备的控制权。

Pradeo发现了该恶意的2FA软件的另一个攻击方式,它通过获取SYSTEM_ALERT_WINDOW权限,使该应用能够改变其他移动应用的界面。正如谷歌自己解释的那样,很少有应用程序使用这个权限;这些窗口是为了与用户进行系统级互动。

一旦设备被完全破坏,该应用程序就会安装Vultur,这是一种先进的、相对较新的恶意软件,主要是针对网上银行界面进行攻击,窃取用户的凭证和其他重要的财务信息。

Pradeo的团队报告说,虽然研究人员向Google Play提交了他们的披露信息,然而那些加载银行木马的恶意2FA Authenticator应用程序仍然在15天内是可用的。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇IT领导者计划如何克服远程工作的.. 下一篇HTTPS,让你的小程序更安全

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800