悄然安装到手机上的银行木马软件,可以“合法”地从受害者的银行账号中盗走资金,短信验证的方法在这种情况下已不再有效。本篇文章普及安卓手机银行木马的来龙去脉,帮助大家防范因恶意程序的攻击而遭受财产损失。
15年前的银行木马
恶意软件把短信验证码发送给攻击者的技术,已经有15年的历史了,但那个时候移动端的木马在功能上并不完善。又过了5年,大约在10年前,一款名为“安卓间谍之眼”的银行木马整合了PC端,成功的绕过了双因素验证。
间谍之眼的工作机制大致如下:
首先用恶意软件感染用户的Windows系统,然后当用户在浏览器中打开某个银行网站时,恶意软件就会在当前页面嵌入一小段代码,修改浏览器地址栏中银行站点的URL,并且使用HTTPS建立连接。这样,银行页面的内容就由攻击者操控。页面内容会被篡改,大致上就是由于某些安全方面的原因,银行紧急改变了操作流程,指导用户在手机端安装一个小程序(只有30K左右)。这个程序就是间谍之眼,它的功能就是截获用户手机短信,并发送到犯罪分子控制的服务器上。
这种攻击手法的弱点在于,要同步手机端和PC端。但病毒作者最终通过修改和完善各种方法,最终成为当时最为普遍的银行木马。再到后来,各大反病毒库都将间谍之眼的特征码记录,这个银行木马才逐渐的销声匿迹。
现在的银行木马
移动互联网的浪潮来临之后,在线银行应用从桌面转移到手机,从而给病毒作者带来了新的便利。犯罪分子无需再花费时间和精力研究如何渗透Windows系统,毕竟Windows的安全机制非常成熟,而且手机的拥有者往往缺乏安全意识和能力,更何况一台台手机就是一个个移动的钱包。
如同其他恶意软件,银行木马主要是通过伪装成正常的应用程序传播。比如,它声称为整合了几个银行的应用程序(当然木马也整合在其中),因为人们偏爱安装一个应用解决许多问题,而不愿意单独逐个下载应用。然后通过虚假的官方网站,或是各种第三方的应用商店平台分发。犯罪分子通过钓鱼邮件或即时通信工具以及社交网络等途径,诱骗人们访问伪造的官方网站。更有甚者,通过发送手机短信来诱导手机用户下载木马。
最早的银行木马非常粗暴,如果需要管理员权限才能安装,它就会始终弹出一个窗口,只有当用户确认同意管理员权限的时候,才会关闭。当然,这样做很容易被怀疑。于是,有一些木马会先伪装成版本更新来骗取用户点击,之后再出现管理员权限的确认窗口,以消除一些警惕性不高的人们的戒心。还有一些银行木马会让用户采取一系列的动作,打开访问服务,禁用某些系统功能等,以最终取得管理员权限,并得以安装在手机上。一旦安装完成,木马会驻留在手机内存,等待手机上银行应用的启动,启动之后将用户在银行应用中输入的信息传送到攻击者控制的服务器。
银行木马通常会包含许多主流银行的页面代码,以骗取用户的信任。同时,还能截获手机短信,并将其隐藏起来防止用户怀疑。如果出于限制或时其他一些原因,木马并不能直接访问到受害者的银行账户,这时木马就会转而窃取用户的银行卡信息,然后利用这些信息去监管不严的网站上购买小额商品,或是干脆把银行卡的信息在黑市上出售。
银行爬虫(Bankbots)
银行爬虫是银行木马在演化中出现的一个分支。木马一般都是自动运行的,而爬虫则会接收命令控制者的各种命令,在受感染的设备上运行。
控制爬虫的命令可通过HTTP来执行,如在短信中使用JSON,甚至通过特定的电报通道(Telegram channel,社交软件上某个主题的消息群)。银行爬虫能够接收或禁止接收短信、将手机静音、发送消息给攻击者,甚至执行USSD(通过手机拨号键发送网络指令)命令。
某些银行爬虫还可以下载并安装APK,因此几乎可以在受害者的手机上为所欲为。包括向攻击者控制的服务器发送通讯录、短信记录等敏感数据,以及拨打攻击者指定的电话号码。
还有一些更高级的银行爬虫,除了上述所有的功能以外,还具备自我保护功能。它会跟踪运行在手机上所有进程的名称,当检测到有反病毒程序或是其他安全软件时,就会关闭这些安全工具。
指数级增长
近年来由于安卓设备的快速增长和安卓系统的开源性,基于安卓平台的木马现在已经形成了一个非常完善的地下产业。在暗网有许多出售或租用安卓木马的广告,并为买家提供所有的管理与技术支持。此外,暗网上还出售木马工具包和打包工具,即使是没有任何编程基础的人,都能够利用这些工具制作出伪装成银行APP或其他正常APP的木马。
地下产业的形成,令银行木马的数量呈指数级增长态势,自然地,感染的手机数量也非常庞大。大多数木马都有管理员权限,因此难以移除。有需要用安全模式启动系统才能删除,有的只能把手机恢复成出厂设置。
即使不在第三方应用商店或平台下载应用,也无法完全避免伪装成正常程序的木马。以Google Play为例,都经常会出现含有木马的应用程序,一定程度上反应了APP的安全检测机制非常不完善。安装反病毒软件无疑有助于防御这些木马,但大部分手机用户人对此毫无意识,而且,在巨大经济利益的驱使下,攻击者传播木马的手段层出不穷,防不胜防。
关键词:安卓木马;银行木马;银行爬虫
閱讀更多 數世諮詢 的文章
