在当前状态下,这种新型恶意软件可以通过覆盖攻击启用网络钓鱼,从而窃取用户的网络银行凭据,并接管用户的银行帐户,还可以通过短信发送的验证码盗窃两因素身份验证(2FA)。种种方式都可以帮助攻击者从受害者的银行帐户中完成欺诈性交易。
根据研究人员分析,Banker.BR的代码是全新的,并且不依赖于先前泄漏的代码或现有的移动恶意软件。尽管现在已经发现了该木马的早期版本,该木马仅具有基本的SMS窃取程序,本文着重介绍了新型的、更加复杂的“屏幕覆盖攻击”恶意软件功能,这是Android银行恶意软件所共有的策略。
在最开始的时候,这种恶意软件只能窃取SMS消息,使用该恶意软件的攻击者很可能从其他来源(例如网络钓鱼攻击和地下凭据供应商)获得了用户凭据。随着其不断发展,它增加了覆盖攻击功能,在网络钓鱼阶段就可以感染用户设备。
尽管它具有和同类恶意软件相同的功能,但它没有实时从其C&C服务器中提取重叠图像的功能,因为这要求在设备自身的资源中调用嵌入式屏幕,所有它会比其他使用这类方法的恶意软件来得迟钝。
虽然大多数应用都是使用Java / Kotlin编程语言实现的,而Java / Kotlin编程语言是Android Studio开发基础平台的一部分,但Banker.BR的编程语言是B4X编程语言。B4X是Visual Basic的现代版本,它是用于创建Android和iOS操作系统的应用程序快速集成开发环境(IDE)套件的一部分。它通常不用于创建恶意软件应用程序。
尽管使用利基IDE确实会产生开销代码,而反向打包更具挑战性,但不打包或混淆该恶意软件会让反向工程更容易实现。 与类似的恶意软件不同,新型木马在设备安装之前,不会验证它是否已在虚拟环境中运行或是否正在调试。从这个意义上讲,它缺乏反研究功能,因此更易于分析。 我们找不到任何代理功能或任何调用操作功能。
读取手机状态 摄像头访问 阅读通讯录 阅读和接收短信 写入外部存储
电话号码 国际移动设备识别码(IMEI) 国际移动订户身份(IMSI) SIM序列号(SSN) 恶意软件为每个设备随机分配的唯一Bot ID
39a197185f7fa277108c2f240dda7ebbe174f8740ba78d8f88f1eb448b60159e fae34dd516a00dc0c2c2cc8e5a026648f3a60db66cc3c480ff605daf04e25d1c 165394fecd7dcfa01a3c5d60489fe51c87aa7743f3775cd9c075988142fa0dd6 710ef119c573857e4607da5a36ddb9846db43b2ba44b257ebaf98d21ef40f7f6 0f1077ea1b0b39f7cbd3f00edac251c2f10cae578e37818184cc00b3853d1b49 b55bb0515d55c85afdc0da5afdf9dd9ff57b4b7c6ddfdda41d761d5d256118e7 cbc72184561f3b98c80a3901c6bcbcd648266fcb5724329db2a01569c0e46057 48a4210c09dd8539d386d80139fd38170cad06b0bbe47ee413b185f1410fe41f 58bd88693864b0375032d3507fe359e79d1ee179e51c5a7d1b2b8e17c8102a17 120f82c45c694fa7c22f1f2ed6ab0b08b8471d8f6d427af3282972a1a51744bd
1e230466d1a01b1ff39494391d2d8abbd4cd0762cbfedc9576cfe576bc4cc347 634059e38477771fd8409ef2188a211a2f0d9a730fe1e50c0010c5785a2b2e3e 74a757389b24bcc100cc0407f1363301e63e54e93f53c5a52106db15fbd10316 001230e571bd73dfdc04d1f32f6b3e21cebb9eafea262edf1741c006c0fd5c61 9b18b0941932f68edfad08235226412a762965b651373ff3744514577bef2767 918a523725821000e0b882769a22d5c0f6d37cca1f5d437840e7372252a6b75e 95c25547034a532f8cada4220213e190d479d12d481ece3b160ee086cb9d26f1 d333fda60b5f62c61be6214e64fe79ee78c66bdd1f995736aeeb33cddc7494ea C7e3cc7e5fc9a82f02939769b986f5c9ae3ed1b3a88fa24c2c26c7b1d042fb60
联系客服