近日,据外媒报道,有网络安全研究人员发现了一款名为“BlackRock”的新型木马,有337款安卓应用被列入目标感染软件列表,Facebook、Twitter、Amazon、Instagram、Skype等众多知名App包含在内。
据网络安全公司ThreatFabric的研究员分析,这款木马的主要特点是窃取用户凭证、拦截短信、劫持通知,甚至记录目标应用的按键,而且还能躲避杀毒软件。
据了解,BlackRock主要通过滥用安卓系统的无障碍辅助功能Accessibility Services)来进行数据收集。该功能本来是安卓专门为残障人士设计的,在开启后一系列权限会被开启,所以经常被恶意软件所滥用,比如自动抢红包、静默安装App等。
当BlackRock在设备上首次启动时,它冒充成虚假的谷歌更新。一旦用户授权了无障碍辅助功能权限,它便继续授予自己额外的权限,并与远程命令和控制服务器建立连接,通过在目标应用的登录和支付屏幕上注入覆盖来进行恶意活动。
换言之,此时用户所打开的登录或支付页面并非原始页面,是木马注入的“假页面”。北京汉华飞天科技有限公司技术总监彭根向南都记者解释,在这样的页面上输入的用户名和密码就会被窃取。
ThreatFabric的研究员发现,这款木马的源代码来自于泄露的Xerxes银行恶意软件版本,而Xerxes银行恶意软件本身就是2016年至2017年期间首次被观察到的LokiBot安卓银行木马的一个病毒分支。
据悉,银行木马一直是安全分析人员研究的重点,每款银行木马家族都是一种复杂的恶意软件,一些黑产团伙专门从事银行木马的开发运营活动,并已经从中获得了巨大的利润。
此次,BlackRock在更改代码的基础上,扩张了目标感染软件的列表,除了金融类应用,还包含了大量重要的社交、通信和约会应用等。
彭根表示,目前这一木马的影响还不太好评估,因为“中招”的前提是无障碍辅助功能已打开,一般来说,安卓手机上的这一功能是默认关闭的。但他也表示,它的危害还是很大的,像银行账号等信息都可能被窃取。
目前,在欧洲、澳大利亚、美国和加拿大运行的银行App,以及购物、通信、社交等类型App上都发现了这些证书窃取覆盖层。
采写:南都记者 李慧琪
来源:南方都市报
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!