2023年诞生的十大新兴银行木马家族

银行木马是一种 “老而弥坚” 的恶意软件，可窃取用户的凭证和会话 cookie 来绕过双因素认证（2FA）保护，有时甚至能自动执行交易来窃取用户的在线银行帐户资金。

根据移动安全公司 Zimperium 最新发布的 2023 年度移动安全报告，除了 2023 年新出现的 10 个安卓银行木马外，2022 年流行的 19 个安卓银行木马在 2023 年也发生了 “变异”，增加了新的功能并提高了操作复杂性。

银行木马的八个关键趋势

通过对这 29 个银行木马的追踪分析，Zimperium 发现 2023 年移动恶意软件威胁呈现以下八个趋势：

银行木马的八个关键趋势添加自动转账系统 (ATS)，用于捕获 MFA 代币、发起交易并执行资金转账。

银行木马的八个关键趋势基于电话的攻击交付（TOAD）：结合社会工程攻击，例如网络犯罪分子会冒充客户支持代理，引导受害者自行下载木马有效负载。

添加实时屏幕共享功能，无需物理访问即可远程控制受害者的设备。

使用域名生成算法（DGA）：绕过黑名单过滤。

恶意软件即服务（MaaS）：以每月 3000 至 7000 美元的价格向其他网络犯罪分子提供订阅包中的恶意软件。

标准功能完善。受调查的大多数木马提供了包括键盘记录、网络钓鱼页面和短信窃取等 “标准功能”。

代码开源。恶意软件代码开源导致迭代加快，使基于签名的杀毒软件失效。

开始窃取数据。一个令人担忧的发展趋势是，银行木马不再仅仅窃取银行凭证和资金，现在还开始瞄准社交媒体、消息和个人隐私数据。

十大新兴安卓银行木马

报告重点分析了 2023 年诞生的十大新兴银行木马家族（其中包含超过 2100 个在野外传播的变种），这些木马伪装成特殊实用程序、生产力应用程序、娱乐门户、摄影工具、游戏和教育辅助工具等，在安卓应用生态和分发渠道中广为传播。

根据攻击目标的数量来看，Hook、Godfather 和 Teabot 是 2023 年最具影响力的三大银行恶意软件。

传统银行应用程序仍然是银行木马主要目标，受感染的应用程序数量达到惊人的 1103 个，占 1800 个目标的 61%，而新兴的金融科技和交易应用程序则占剩余的 39%。

以下是这十个新木马的统计列表：

Nexus：MaaS（恶意软件即服务）模式，有 498 种变体，提供实时屏幕共享，针对 9 个国家 / 地区的 39 个应用。

Godfather：MaaS 模式。有 1171 种已知变体，针对 57 个国家 / 地区的 237 个银行应用。支持远程屏幕共享。

Pixpirate：有 123 个已知变体，由 ATS 模块驱动，针对 10 个银行应用程序。

Saderat：有 300 个变体，针对 23 个国家 / 地区的 8 个银行应用程序。

Hook：MaaS 模式。有 14 种已知变体，支持实时屏幕共享。其攻击目标覆盖 43 个国家 / 地区的 468 个应用程序，并以每月 7000 美元的价格租给网络犯罪分子。

PixBankBot：有三个已知变体，针对 4 个银行应用程序。配备了用于设备上欺诈的 ATS 模块。

Xenomorphv3：MaaS 模式。有能够执行 ATS 操作的六种变体，针对 14 个国家 / 地区的 83 个银行应用。

Vultur：有 9 个变体，针对 15 个国家 / 地区的 122 个银行应用程序。

BrasDex：针对巴西 8 个银行应用程序的木马。

GoatRat：有 52 个已知变体，由 ATS 模块驱动，针对 6 个银行应用程序。

此外，还有很多 2022 年开始流行并在 2023 年完成更新的恶意软件家族，其中依然保持活跃的家族包括 Teabot、Exobot、Mysterybot、Medusa、Cabossous、Anubis 和 Coper。

在安卓银行木马攻击的国家 / 地区统计中，排名第一的是美国（109 个目标银行应用程序），其次是英国（48 个银行应用程序）、意大利（44 个应用程序）、澳大利亚（34）、土耳其（32 个）、法国（30）、西班牙（29）、葡萄牙（27）、德国（23）和加拿大（17）。

三大缓解措施

报告指出，2023 年银行木马给金融企业造成的经济损失和运营成本持续增加，同时导致消费者信任度和品牌影响力下降。金融机构应该采取主动和自适应安全方法应对不断增长的威胁，并重点实施以下三大缓解措施：

确保安全措施与威胁的复杂程度相匹配：使用先进的代码保护技术提升攻击应用程序所需的成本和精力，使其超过攻击者的潜在收益。

实现运行时可见性以进行全面的威胁监控和建模：移动应用安全领导者必须实现跨各种威胁媒介（包括设备、网络、应用程序和网络钓鱼）的运行时可见性。这种实时洞察力可以主动识别和报告风险、威胁和攻击。

部署设备上保护以实现实时威胁响应：移动应用安全领导者应优先实施设备上保护机制，使移动应用能够在检测到威胁时立即采取行动。这种能力应该是自主的，不需要依赖网络连接或后端服务器通信。

对于个人用户来说，防范安卓手机银行木马的关键措施是：避免从非官方应用商店下载应用；在应用安装过程中密切注意权限请求，切勿授予对 “辅助功能服务” 的访问权限；避免点击来路不明的短信或邮件中的（应用下载）链接。

————————————————

原文作者：上官雨宝

转自链接：https://www.wangan.com/p/11v7c4c361a77085