新的特洛伊波浪攻击针对加密钱包和银行应用

网络安全研究人员发现了四个活跃的安卓恶意软件家族，针对超过800个应用程序，包括加密货币钱包和银行应用。这些恶意软件使用的方法大多数传统安全工具无法检测到。

Zimperium的zLabs团队发布了追踪被称为RecruitRat、SaferRat、Astrinox和Massiv的木马的结果。

根据该公司的研究，每个家族都有自己的指挥控制网络，用于窃取登录信息、接管金融交易以及获取感染设备的用户数据。

加密和银行应用面临来自多种恶意软件的新威胁

这些恶意软件家族对在安卓上管理加密货币的任何人构成直接威胁。

一旦安装，木马可以在真实的加密和银行应用程序上方放置假登录界面，实时窃取密码和其他私人信息。然后，恶意软件会在真实应用界面上覆盖一个假HTML页面，形成公司所称的“高度逼真、具有欺骗性的外观”。

“利用辅助功能服务监控前台，恶意软件检测受害者启动金融应用的确切时刻，”Zimperium的安全研究人员写道。

根据报告，这些木马不仅可以窃取凭证，还能捕获一次性密码、将设备屏幕流传给攻击者、隐藏自己的应用图标，以及阻止用户卸载它们。

每个攻击活动都使用不同的诱饵来诱使人们上当。

SaferRat通过伪造承诺免费访问高级流媒体服务的假网站进行传播。RecruitRat将其载荷隐藏在求职申请流程中，向目标发送钓鱼网站，要求他们下载恶意APK文件。

Astrinox也采用了类似的招聘策略，使用域名xhire[.]cc。根据访问该网站的设备不同，显示不同的内容。

安卓用户被要求下载APK，而iOS用户则看到一个类似苹果应用商店的页面。然而，安全研究人员未发现iOS实际上被入侵的证据。

在研究周期内，尚无法确认Massiv的传播方式。

这四个木马都利用钓鱼基础设施、短信诈骗和利用人们快速行动需求或好奇心的社会工程手段，诱使用户加载有害的应用。

加密软件的恶意软件规避检测

这些活动旨在绕过安全工具。

研究人员发现，这些恶意软件家族采用先进的反分析技术和对安卓应用包（APK）的结构篡改，以保持公司所称的“对传统基于签名的安全机制几乎为零的检测率”。

网络通信也与正常流量混合。木马使用HTTPS和WebSocket连接与其指挥服务器通信。一些版本在这些连接之上增加了额外的加密层。

另一个重要方面是持久性。现代安卓银行木马不再使用简单的一阶段感染，而是采用多阶段安装流程，旨在绕过安卓不断变化的权限模型，这使得应用在没有用户明确授权的情况下难以执行某些操作。

报告未能确认在超过800个目标应用中具体涉及哪些加密钱包或交易所。但由于覆盖攻击、密码拦截和屏幕流传，任何基于安卓的加密应用都可能面临风险，尤其是在用户从Google Play商店外安装恶意APK时。

通过短信、招聘广告或促销网站中的链接下载应用，仍然是移动恶意软件入侵智能手机的最可靠途径之一。

在安卓设备上管理加密货币的人应只使用官方应用商店，并警惕要求下载内容的弹出消息。

最聪明的加密货币专家已经阅读了我们的通讯。想加入他们吗？