卡巴斯基实验室专家发现了具有键盘记录器功能的Svpeng手机银行木马新变种,这种攻击手段经常被针对性威胁攻击者所使用。
卡巴斯基实验室专家发现了具有键盘记录器功能的Svpeng手机银行木马新变种,这种攻击手段经常被针对性威胁攻击者所使用。这种修改版的木马会滥用安卓系统的无障碍服务,窃取用户输入的文本信息,例如银行的登陆凭证。这种攻击手段还可以让木马获得其他权限,阻止用户将其卸载。研究人员警告,仅通过保持设备软件更新并不能抵御这种木马。
无障碍服务通常以用户界面(UI)的形式增强对残疾用户或暂时无法与设备完全交互的用户(例如开车时)的支持。2017年7月,卡巴斯基实验室的研究人员发现Svpeng演化出滥用这种系统功能的攻击手段,可以窃取用户在设备其他应用上输入的文本数据,还能够授予自身多种额外的权限。
这种木马会伪装成一种flash播放器应用,通过恶意网站进行传播。激活后,它会要求获取无障碍服务的访问权限。通过利用这种功能,它可以实现以下目的:访问其他应用的用户界面,一旦键盘上有按键行为,就进行截图;记录数据,例如网银登陆凭证。它还可以赋予自己设备管理员权限以及覆盖其他应用的能力。它只所以需要应用覆盖功能,是因为有些应用,尤其是网银应用不允许截屏。这种情况下,木马会利用钓鱼窗口覆盖银行应用。研究人员发现一个钓鱼链接列表,其攻击目标为多个欧洲银行的网银应用。
此外,它还能将自身设置为默认的短信应用,发送和接收短信,拨打电话,读取联系人信息,并阻止任何试图删除其设备管理员权限的操作,从而避免自身被卸载。这种木马的恶意功能甚至能够在完全更新的设备上生效,即使这些设备已经安装了最新的安卓操作系统,也安装了所有的安全更新。
这种木马还没有被大范围部署,整体的攻击数量减少。迄今为止,大多数检测到的攻击都来自俄罗斯(29%)、德国(27%)、土耳其(15%)、波兰(6%)和法国(3%)。其中还包括钓鱼攻击。
“键盘记录和无障碍服务滥用是手机银行恶意软件的最新发展结果,Svpeng恶意软件在这领域遥遥领先,对此我们并不惊奇。Svpeng恶意软件家族以其创新而闻名,使得其成为最危险的恶意软件家族之一。它是最早针对短信银行实施攻击的恶意软件,同时也是最早使用钓鱼页面覆盖应用,截获登陆凭证的恶意软件,也是最早锁定设备,勒索赎金的手机恶意软件。所以,对这种恶意软件的每一个最新版本,都需要密切监控和分析,”卡巴斯基实验室资深恶意软件分析师Roman Unuchek说。
卡巴斯基实验室建议用户在设备上安装可靠的安全解决方案,例如卡巴斯基安全软件安卓版。同时,要检查想要安装的应用是否来自知名的开发商,不要从可疑来源或无法验证安全性的来源下载应用。最后,在赋予应用额外的权限时,一定要谨慎。
要了解更多有关Svpeng最新版的详情,请访问Securelist.com.
卡巴斯基实验室所有产品将这种木马检测为:Trojan-Banker.AndroidOS.Svpeng.ae.
