银行木马是一种 “老而弥坚” 的恶意软件,可窃取用户的凭证和会话 cookie 来绕过双因素认证(2FA)保护,有时甚至能自动执行交易来窃取用户的在线银行帐户资金。
根据移动安全公司 Zimperium 最新发布的 2023 年度移动安全报告,除了 2023 年新出现的 10 个安卓银行木马外,2022 年流行的 19 个安卓银行木马在 2023 年也发生了 “变异”,增加了新的功能并提高了操作复杂性。
银行木马的八个关键趋势
通过对这 29 个银行木马的追踪分析,Zimperium 发现 2023 年移动恶意软件威胁呈现以下八个趋势:
银行木马的八个关键趋势添加自动转账系统 (ATS),用于捕获 MFA 代币、发起交易并执行资金转账。
银行木马的八个关键趋势基于电话的攻击交付(TOAD):结合社会工程攻击,例如网络犯罪分子会冒充客户支持代理,引导受害者自行下载木马有效负载。
添加实时屏幕共享功能,无需物理访问即可远程控制受害者的设备。
使用域名生成算法(DGA):绕过黑名单过滤。
恶意软件即服务(MaaS):以每月 3000 至 7000 美元的价格向其他网络犯罪分子提供订阅包中的恶意软件。
标准功能完善。受调查的大多数木马提供了包括键盘记录、网络钓鱼页面和短信窃取等 “标准功能”。
代码开源。恶意软件代码开源导致迭代加快,使基于签名的杀毒软件失效。
开始窃取数据。一个令人担忧的发展趋势是,银行木马不再仅仅窃取银行凭证和资金,现在还开始瞄准社交媒体、消息和个人隐私数据。
十大新兴安卓银行木马
报告重点分析了 2023 年诞生的十大新兴银行木马家族(其中包含超过 2100 个在野外传播的变种),这些木马伪装成特殊实用程序、生产力应用程序、娱乐门户、摄影工具、游戏和教育辅助工具等,在安卓应用生态和分发渠道中广为传播。
根据攻击目标的数量来看,Hook、Godfather 和 Teabot 是 2023 年最具影响力的三大银行恶意软件。
传统银行应用程序仍然是银行木马主要目标,受感染的应用程序数量达到惊人的 1103 个,占 1800 个目标的 61%,而新兴的金融科技和交易应用程序则占剩余的 39%。
以下是这十个新木马的统计列表:
Nexus:MaaS(恶意软件即服务)模式,有 498 种变体,提供实时屏幕共享,针对 9 个国家 / 地区的 39 个应用。
Godfather:MaaS 模式。有 1171 种已知变体,针对 57 个国家 / 地区的 237 个银行应用。支持远程屏幕共享。
Pixpirate:有 123 个已知变体,由 ATS 模块驱动,针对 10 个银行应用程序。
Saderat:有 300 个变体,针对 23 个国家 / 地区的 8 个银行应用程序。
Hook:MaaS 模式。有 14 种已知变体,支持实时屏幕共享。其攻击目标覆盖 43 个国家 / 地区的 468 个应用程序,并以每月 7000 美元的价格租给网络犯罪分子。
PixBankBot:有三个已知变体,针对 4 个银行应用程序。配备了用于设备上欺诈的 ATS 模块。
Xenomorphv3:MaaS 模式。有能够执行 ATS 操作的六种变体,针对 14 个国家 / 地区的 83 个银行应用。
Vultur:有 9 个变体,针对 15 个国家 / 地区的 122 个银行应用程序。
BrasDex:针对巴西 8 个银行应用程序的木马。
GoatRat:有 52 个已知变体,由 ATS 模块驱动,针对 6 个银行应用程序。
此外,还有很多 2022 年开始流行并在 2023 年完成更新的恶意软件家族,其中依然保持活跃的家族包括 Teabot、Exobot、Mysterybot、Medusa、Cabossous、Anubis 和 Coper。
在安卓银行木马攻击的国家 / 地区统计中,排名第一的是美国(109 个目标银行应用程序),其次是英国(48 个银行应用程序)、意大利(44 个应用程序)、澳大利亚(34)、土耳其(32 个)、法国(30)、西班牙(29)、葡萄牙(27)、德国(23)和加拿大(17)。
三大缓解措施
报告指出,2023 年银行木马给金融企业造成的经济损失和运营成本持续增加,同时导致消费者信任度和品牌影响力下降。金融机构应该采取主动和自适应安全方法应对不断增长的威胁,并重点实施以下三大缓解措施:
确保安全措施与威胁的复杂程度相匹配:使用先进的代码保护技术提升攻击应用程序所需的成本和精力,使其超过攻击者的潜在收益。
实现运行时可见性以进行全面的威胁监控和建模:移动应用安全领导者必须实现跨各种威胁媒介(包括设备、网络、应用程序和网络钓鱼)的运行时可见性。这种实时洞察力可以主动识别和报告风险、威胁和攻击。
部署设备上保护以实现实时威胁响应:移动应用安全领导者应优先实施设备上保护机制,使移动应用能够在检测到威胁时立即采取行动。这种能力应该是自主的,不需要依赖网络连接或后端服务器通信。
对于个人用户来说,防范安卓手机银行木马的关键措施是:避免从非官方应用商店下载应用;在应用安装过程中密切注意权限请求,切勿授予对 “辅助功能服务” 的访问权限;避免点击来路不明的短信或邮件中的(应用下载)链接。
————————————————
原文作者:上官雨宝
转自链接:https://www.wangan.com/p/11v7c4c361a77085
版权声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请保留以上作者信息和原文链接。
通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室 邮政编码:100080
电话:010-62565314 刘莉 京ICP证16064523号-2 版权所有:北京软件和信息服务业协会
技术支持:中科服 内容支持:鑫网安