ESET 研究人员最近发现了一种新的 Android 木马,它使用了一种针对官方 PayPal 应用程序的新技术,能够绕过 PayPal 的双因素认证。如何避免?
近期网络上出现了一个针安卓用户的新木马,它有一些特殊的技巧。
2018 年11月 ESET 首次检测到该木马,它将银行木马的远程控制功能与一种 Android 可访问性服务新的滥用方法相结合,针对使用官方 Paypal 应用的用户。
截止到撰写本文时,该恶意软件伪装成电池优化工具,并通过第三方 APP 商店进行传播。
它是如何工作的?
在启动后,其在没有提供任何服务的情况下终止运行,并隐藏软件图标。从这时起,其主要活动可以分解为两个部分,如下面所述。
针对 Paypal 的恶意可访问性服务
恶意软件的第一个功能,从受害者的 PayPal 账户偷钱,这需要激活恶意的可访问性服务。如下图所示,这个请求在用户看起来由像是“无害”的“启用统计 ”的服务。
如果官方 PayPal 应用程序安装在已被入侵的设备上,恶意软件会显示一个通知警报,提示用户启动它。一旦用户打开 PayPal 并登录,恶意的可访问性服务(如果先前用户启用它)会模仿用户点击将钱款发送到攻击者的 PayPal 地址。
在我们的分析该软件过程中,APP 试图转出 1000 欧元,所转出的货币品种取决于用户的位置。整个过程大约需要5秒钟,对于一个毫无戒心的普通用户来说,没有任何可行的方法来阻止转账行为。
因为恶意软件并不是窃取 PayPal 的登录凭据,而是等待用户自己登录到PayPal,所以它也绕过PayPal的双因素认证(2FA)。启用了 2FA 的用户在登录时只需完成一个额外的步骤,就像他们通常所做的那样,但是最终和那些不使用 2FA 的用户一样容易受到木马的攻击。
下面的实践视频演示了这一过程。
攻击者只有在用户没有足够的 PayPal 余额以及没有绑定支付卡时才会攻击失败。每当 PayPal 应用程序启动时,恶意的可访问性服务就被激活,这意味着用户会被攻击很多次。
ESET 已经通报了这个木马所使用的攻击技术和用来接收资金的 PayPal 帐户。
使用覆盖攻击的银行木马
该木马的第二个功能是在合法的 APP 界面上覆盖显示钓鱼页面。
默认情况下,恶意软件会下载五个APP的HTML编写的覆盖页面—— Google Play、WhatsApp、Skype、Viber 和 Gmail——但是这个目标列表可以在任何时候修改。
五个覆盖页面中的四个用于偷取信用卡详细信息;一个针对 Gmail 的 Gmail 登录凭据。我们怀疑这些也与 PayPal 提供的功能有关,因为每完成一次交易,PayPal 便会发送电子邮件通知。通过访问受害者的 Gmail 帐户,攻击者可以删除这些电子邮件,从而在更长的时间内保持隐蔽。
我们还看到了某些银行 APP 的覆盖页面,这些 APP 正请求受害者提供登录凭据。
与大多数 Android 银行木马使用的覆盖页面不同,这些覆盖页面显示在锁定前端屏幕上——Android 勒索软件也是使用这种技术。这是防止受害者通过点击后退按钮或主按钮来跳过覆盖页面。而跳出这些覆盖页面的惟一方法是填写虚假的表单信息,幸运的是,即使随机、无效的信息,这些页面也会消失。
根据我们的分析,这个木马的作者一直在寻找这个屏幕覆盖机制的进一步用途。木马的代码中包含“声称受害者的手机因儿童色情内容已而被锁定,可以通过向指定地址发送电子邮件来解锁”的字符串。这种说法让人想起早期的移动勒索攻击,受害者会误以为他们的手机已被警方锁定。目前尚不清楚此木马背后的攻击者是否还计划利用这个功能从受害者那里勒索钱财,又或者仅用于掩盖在后台发生的其他恶意活动。
除了上述两个核心功能之外,根据从 C2 服务器接收的命令,恶意软件还可以执行以下功能:
拦截和发送短信;删除所有短信;更改默认的短接受程序(以绕过基于 SMS 的双因素身份验证)
获取联系人列表
打电话和转接电话
获取已安装的应用程序的列表
安装应用程序,运行已安装的应用程序
启动 socket 通信
⚠️ 该木马也潜伏在 Google Play 中
我们还在 Google Play 商店中发现了5个具有类似功能的恶意 APP,目标是巴西用户。
这些 APP 其中一些因跟踪安卓用户的位置信息已被曝光,现在已从 Google Play 中删除。实际上,这些应用程序使用恶意的易访问性服务来攻击巴西几家银行的合法 APP。此外,这些木马也通过覆盖页面来窃取用户敏感信息。
有趣的是,这些特洛伊木马还使用可访问性来阻止卸载操作,每当启动杀毒应用程序或应用程序管理器时,或当在前台检测到建议卸载的字符串时,木马会重复单击“Back”按钮,来阻止卸载操作。
如何保证安全
安装了这些恶意 APP 的用户很可能已变成受害者。
如果您已经安装了上述木马,我们建议检查您的银行帐户有无可疑交易,并考虑改变您的网上银行密码,以及 Gmail 密码。如发现未经授权的 PayPal 交易记录,您可以在 PayPal 的解决中心报告该问题。
对于由于因该木马的覆盖页面而无法使用的移动设备,我们建议使用 Android 的安全模式,然后再卸载 Settings>(General)>Application manager/Apps 路径下名为“Optimization Android”的应用程序。
对于安装了 Google Play 中的木马程序的巴西用户,同样也建议在安全模式下卸载。
为了远离 Android 恶意软件,建议您:
需要下载应用程序时请坚持使用 Google Play 官方商店
在从 Google Play 下载应用程序之前,请检查下载数量、应用程序评级和评论内容
请注意您向安装的 APP 授予了哪些权限
保持您的 Android 设备更新,并使用可靠的移动安全解决方案;ESET 产品检测这些威胁,如 Android/Spy.Banker.AJZ 和 Android/Spy.Banker.AKB。
⚫️
欢迎关注我们的新博客:https://iyouport.weebly.com/ 正在逐步迁移并改版!
Comments