卡巴斯基实验室专家发现了Faketoken手机银行木马的一种变种,该变种能够加密用户数据
卡巴斯基实验室专家发现了Faketoken手机银行木马的一种变种,该变种能够加密用户数据。这种恶意程序会伪装成多种程序或游戏,包括Adobe Flash Player,窃取超过2,000种安卓金融应用的登陆凭证。截止到目前,这种Faketoken变种已经在27个国家造成超过16,000名受害者感染,其中大多数用户都位于俄罗斯、乌克兰、德国和泰国。
新增的数据加密功能对木马程序来说并不常见,因为大多手机勒索软件主要是拦截用户使用设备,而非锁定数据,而且用户的数据通常会备份到云端。在Faketoken攻击中,用户的数据,包括文档和媒体文件如照片和视频都会利用一种AES对称加密算法进行加密。有些情况下,用户可以不必向网络罪犯支付赎金而解密这些数据。
在感染初始阶段,木马会要求管理员权限,还要求用户同意该木马覆盖其他应用,或者成为默认的短信应用。通常情况下,用户几乎没有其他选择,只能选择同意。此外,这些权限还让Faektoken木马能够窃取数据,而且不仅能够直接窃取如联系人和文件等数据,还能够利用钓鱼网页,间接窃取其他数据。
该木马被用于在全球范围内窃取数据:一旦木马获取到所有请求的权限,就会从自己的命令和控制服务器数据库。数据库包含77种语言,适用于不同地区的多种设备。这些数据库被用于创建钓鱼信息,窃取用户的Gmail账户密码。此外,该木马还能够覆盖Google Play 应用商店,显示一个钓鱼页面窃取用户的信用卡信息。事实上,这种木马能够下载一个包含很多可被攻击的应用列表,甚至利用HTML模板页面生成钓鱼页面,窃取相关应用的账户信息。卡巴斯基实验室的研究人员发现该列表中包含2,249种金融应用。
有趣的是,这种Faketoken变种还会利用自己的快捷方式替换社交媒体网络、即时通讯工具和浏览器的快捷方式。这样做的原因尚不明确,因为替换的图标仍然指向合法的应用程序。
“最新的Faketoken手机银行木马变种非常有趣,因为有些最新的功能似乎给攻击者带来的优势非常有限。但是,这并不意味着我们不应当慎重处理这种威胁。这些变化可能表示网络罪犯在为未来开发打基础,或者表明恶意软件在不断演化和创新。通过曝光这一威胁,我们能够消除它带来的威胁,帮助用户保护设备和数据安全,”卡巴斯基实验室高级恶意软件分析师Roman Unuchek说。
卡巴斯基实验室建议安卓用户采取以下措施保护自己的安全,抵御Faketoken木马和其他恶意软件威胁:
- 确保对所有的数据进行备份。
- 当一款应用要求权限时,不要轻易同意这些权限――请仔细思考一下这些应用要求的是什么权限,以及为什么要获取这些权限。
- 在所有的设备上安装反恶意软件解决方案,同时保持自己的操作系统和软件及时更新。
卡巴斯基实验室检测到数千个能够加密数据的Faketoken安装包,其中最早的可以追溯到2016年7月。卡巴斯基实验室产品能够检测Faketoken恶意软件家族的所有变种。
想要了解更多关于Faketoken变种的详情,请阅读Securelist上的相关博文。