ESET發佈用於操控銀行殭屍網絡的Android惡意軟件源碼

最近由ESET再次在Google Play上發現了新的Android銀行惡意軟件，此次針對更多的銀行軟件。進一步調查再次出現的病毒威脅，發現它的代碼是基於幾個月前公開的源代碼所構建。

以前的版本被ESET檢測爲Trojan.Android/Spy.Banker.HU（版本1.1 - 由其作者在源代碼中標記），並在2月6 日報告。惡意軟件是通過Google Play上合法的天氣預報應用程序Good Weather分發。該***針對22個土耳其移動銀行應用程序，試圖使用虛假的登錄頁面獲取登錄憑據。此外，它還可以鎖定和解鎖受感染的設備遠程，以及攔截短信。

上週日，我們在Google Play上發現了一個新版本的***，僞裝成另一個合法的天氣應用，這次是World Weather。該***由ESET檢測爲Trojan.Android/Spy.Banker.HW（版本1.2），自2月14日起在Google Play商店中提供下載，直到ESET報告並於2月20日從商店下線。

連接點

第二個發現導致了另一輪調查，提供了一些有趣的啓示。

事實證明，這兩個Android***都是基於一個網上公開免費源代碼。從一開始，Android惡意軟件的“模板”代碼以及C＆C服務器的代碼（包括網絡控制面板）從2016年12月19日起在俄羅斯論壇上就有提供。

隨後的調查發現了drweb.com的研究結果，我們注意到，有誰分析過該惡意軟件（通過我們的系統在2016年12月26日發現Android / Spy.Banker.HH之後）。

不過，即使此變體與1.0版本有相同的檢測名稱，但是也與我們在Google Play上找到的變體沒有直接的關係。我們在訪問殭屍網絡的C＆C服務器的控制面板之後，能確認該服務器在我們調查時已啓動並運行。通過控制面板，我們能夠收集所有2800多個感染機器人的惡意軟件版本的信息。

圖2 - C＆C web控制面板列出惡意軟件的受害者

以下是受惡意軟件影響的用戶組的概述，基於C＆C控制面板中列出的殭屍網絡數據：

有趣的是，自2017年2月2日起開始運行的C＆C服務器本身已被具有URL的任何人訪問，無需任何憑據。 

它如何操作？

新檢測到的版本具有與其前身基本上相同的功能。除了從原始的應用程序轉成採用天氣預報功能，Trojan.Android/Spy.Banker.HW能夠通過設置鎖定屏幕密碼，攔截文本消息，遠程鎖定和解鎖受感染的設備。

兩者之間的唯一區別似乎是更廣泛的目標羣體 - 惡意軟件現在影響英國，奧地利，德國和土耳其銀行應用程序的用戶 ，以及使用了更先進的混淆技術。

***還有一個內置的通知功能，其目的是通過訪問C＆C服務器來驗證。事實證明，惡意軟件能夠在受感染的設備上顯示虛假通知，提示虛假的銀行“重要消息”，誘導用戶啓動目標銀行應用程序。通過這樣做，就通過假登錄頁面的形式觸發了一個惡意行爲。

我的設備是否已被感染？如何清理***？

如果您最近通過Google Play商店安裝了天氣應用程序，那麼您應該檢查手機，看看是否已成爲此銀行***的受害者。

如果您認爲您可能下載了名爲Weather的應用程序，請在“設置” - >“應用程序管理器”下找到它。如果您看到的應用程序如圖8，並在設置 - >安全 - >設備管理員（圖9）下找到了“系統更新”，那麼說明您的設備已被感染。

要清理設備中的病毒，我們建議您使用移動安全解決方案，或者手動刪除惡意軟件。

要手動卸載該***，首先需要停用其設備管理員權限，找到設置 - >安全 - >系統更新，並停用。完成後，您可以在設置 - >應用程序管理器 - >卸載惡意天氣應用程序。

圖9：在活動設備管理員下僞裝爲系統更新的惡意軟件 

如何保持安全

雖然這特定的殭屍網絡***者選擇通過***天氣應用程序傳播惡意軟件，並針對本文底部列出的銀行，但不保證代碼不會或沒有在其他地方使用。

考慮到這一點，堅持一些基本原則，遠離移動惡意軟件是很好的。

雖然不是完美無瑕，Google Play仍然採用先進的安全機制來防止惡意程序出現。由於這種情況可能與其他應用商店或其他未知來源不同，請儘可能選擇官方Google Play商店。

從Google Play商店下載時，請務必在安裝或更新前瞭解應用程序權限。不要自動向應用程序提供其所需的權限，而應考慮它們對應用程序和設備的含義。如果有什麼似乎脫節，閱讀其他用戶寫在他們的評論，並重新考慮下載相應。

運行移動設備上安裝的任何程序時，請始終注意其請求的權限。如果應用程序沒有獲取到權限，就不能正常的運行，連接它期望的功能，那該應用程序可能不是您想要安裝的應用。

如果您想了解有關基於Android的惡意軟件的詳情，請查看我們有關此主題的最新研究。

您也歡迎ESET在今年的移動世界大會上站立。

原文鏈接： http://www.kiwisec.com/news/detail/58b635724699340cba4bbcc4.shtml  轉載於幾維安全