打开手机电筒就泄露了银行卡密码?

[[190088]]

据ESET(总部位于斯洛伐克布拉迪斯拉发的一家世界知名的电脑安全软件公司,创立于1992年)4月19日官方报道,一个具有自动锁屏功能的银行恶意软件近期伪装成Google Play上的手电筒应用,广大安卓用户成为了它的狩猎目标乃至囊中之物。与其它静态式的银行业务木马不同,该木马能够动态地调整自身功能。

除了用来作掩护的手电筒功能之外,这种利用远程控制的木马还具有很多附加功能,最终目的就是窃取用户的银行账户信息。该木马可以通过C&C服务器命令模拟真实应用的界面,锁住受感染设备,避免受害者发现恶意活动,拦截短信并显示伪造的通知,最终达到绕过双因素身份验证的目的。

这种恶意软件能够感染安卓系统的所有版本。而且由于功能动态变化的特点,它不会受限于应用程序的类型——只需获得安装在受害设备上应用程序的HTML代码,在启动该应用后用HTML代码伪造的虚假屏幕覆盖掉就可以了。

ESET公司检测到的Trojan.Android/Charger.B的特洛伊木马于3月30日被背后的操纵者上传至Google Play,截至ESET4月10日发布正式通知前,大约已经有5000多名不知情的用户下载安装了该木马病毒。

Google Play上的木马程

 

它是如何运作的?

一旦安装并启动了这个木马程序,它就会请求获得受害设备的管理员权限。使用安卓6.0或更高版本的用户还需手动设置使用权限并开启“draw over other apps(允许在其他应用的上层显示)”的功能。获得权限与许可后,该程序就会自动隐藏图标,以插件的形式在设备上显示。

实际的有效负载已经在Google Play的APK文件资源中加密,这种处理方式能够避免其恶意功能被发现。当受害者运行该应用时,有效载荷也会自动解密并执行攻击任务。

木马首先会将受感染的设备注册到攻击者的服务器上。除了发送设备信息和设备上所安装的应用程序信息之外,它还能获取设备前置摄像头所拍摄的照片。

如果信息显示这台设备位于俄罗斯、乌克兰或白俄罗斯,C&C服务器就会自动停止攻击活动,唯一的可能性就是该恶意程序的所有者希望避免来自本国攻击者的控诉。

根据受感染设备上安装的应用程序列表,C&C以恶意HTML代码的形式发送相应的虚假活动。受害者只要启动其中一个目标应用程序,HTML就会在WebView中显示。紧接着,真实应用的界面就被伪造的界面所覆盖,该界面要求用户输入信用卡信息或银行应用的登录凭据等。

那么哪些应用容易被这种木马盯上?这个问题也许是无解的。因为不同设备所安装的应用不同,窃取的HTML代码也不同。据调查,已经发现存在虚假界面的应用程序有以下这些:Commbank、NAB、Westpac手机银行、Facebook、WhatsApp、Instagram和Google Play。

伪造界面上的登录凭据都会以不加密的方式发送到攻击者的C&C服务器上。

至于设备被锁住的问题,ESET猜测这项功能会在攻击者从受害银行账户提现时自动启用。攻击者通过一个虚假的外观更新界面来隐藏自己的欺诈活动,以免受害者发现恶意活动、加以干预。

在受感染在被感染设备上找到的模仿真实应用的钓鱼界面

[[190089]]

用于锁定受感染设备的虚假系统界面

该木马滥用Firebase Cloud Messages(FCM)与C&C服务器进行通信,这是我们第一次发现安卓恶意软件使用了这种通信渠道。

研究显示,该应用是Android/Charger的改良版,由Check Point研究人员于2017年1月首次发现。第一个版本主要通过锁住设备并进行勒索的方式对受害者进行直接敲诈,但是现在Charger背后的恶意黑客改用钓鱼的方式,目标直接锁定受害者的银行信息——这种演变在安卓恶意软件家族中十分少见。

Android/Charger.B使用的是虚假的登录界面与设备锁定功能,这与我们二月份发现并分析的银行业务恶意软件存在一定相似之处。但为什么说这次发现的木马更加危险呢?因为与一般恶意软件中的硬编码不同,它的攻击目标是动态变化、毫无限制的!

你的设备是否受到了感染?如何清除?

如果你刚好最近从Google Play下载了手电筒应用,那么你就需要检查下是否无意中碰到过这种木马程序。

恶意应用可以在设置>应用程序管理/应用>手电筒插件中找到。

应用程序管理器中的恶意软件

找到这个恶意程序很简单,但是要想卸载它就比较头疼了。该木马通过禁止用户关闭活动的设备管理器(卸载app的必要步骤)的方式防止受害者卸载。如果我们选择停用选项,屏幕会弹出一个只能点击“激活”选项的弹框——恶意程序惯用的流氓手段。

遇到这样的情况时,首先可以将设备调至安全模式,再参照下面的视频完成卸载。

https://v.qq.com/x/page/m0397bnnr1e.html

如何预防?

避免恶意软件带来伤害的关键说到底还是预防。

下载应用时我们应尽可能地选择官方应用商店。尽管Google Play也存在漏网之鱼,但它的确采取了高级的安全防御机制来抵制恶意软件,而很多不规范的应用商店都做不到这一点。

如果你对想要安装的应用程序不放心,可以通过查看该应用的安装次数、评分和评论内容再作决定。

安装并运行某个应用后,一定要注意它所请求获得的设备权限。如果它要求的权限超过了功能所需(如手电筒应用却要求获得设备管理员的权限),那么这时候你就需要慎重考虑了。

当然最后一点,我们也可以选择一家值得信赖的安全服务供应商来保护我们的设备,避免最新的威胁造成不可估量的损失!

已分析样本

  • 数据包名称:com.flashscary.widget
  • 哈希值:CA04233F2D896A59B718E19B13E3510017420A6D
  • 检测结果:Android/Charger.B

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/131690.html<

(0)
管理的头像管理
上一篇2025-02-26 16:09
下一篇 2025-02-26 16:10

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注