BankBot首次发现于今年一月份。当时一款未命名银行木马的源代码出现在地下黑市,随后被整合成BankBot。截至目前,它的攻击目标是位于俄罗斯、英国、奥地利、德国和土耳其的银行。如今这款恶意软件进行伪装后可绕过谷歌安全扫描器。
BankBot木马的特点BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统。
BankBot木马运行流程如下BankBot设法绕过谷歌应用商店安全检查
截止4月份,研究人员已发现了三起不同的BankBot攻击活动,且谷歌已拿下受感染的app。
但现在多家安全公司又发现了BankBot的踪迹。一家荷兰安全公司Securify指出,两起新的BankBot攻击活动设法绕过了谷歌应用商店的安全检查。
BankBot的劫持分析当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。
另外的一些钓鱼界面。
它还能窃取其它app的登录详情,包括Facebook、YouTube、WhatsApp、Snapchat、Instagram、Twitter、甚至是谷歌应用商店。
BankBot具有很多功能,如像勒索软件那样锁定用户设备或者拦截用户文本以绕过双因素验证。
研究人员已发布了遭受BankBot攻击的424款合法银行app,包括汇丰银行、法国巴黎银行等。
安全建议1. E安全建议用户下载应用请到官方网站或安全应用市场,切勿点击任何色情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。
2. 如果不确定手机是否毒,可以安装手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。
本文综合整理自安全客与阿里聚安全