趨勢科技最近發現了14個夾帶銀行惡意軟體“DawDropper”的惡意Android程式,它會竊取你手機上銀行應用程式的資料。被竊的資料包括了PIN碼、銀行憑證、密碼等。這隻惡意軟體還會攔截簡訊並取得對受感染裝置的完全控制。也就是說,操作它的駭客有辦法偷走你銀行帳戶裡的錢。
DawDropper會透過惡意軟體作者所設計的惡意應用程式散播,利用第三方雲端服務來繞過Google Play的安全檢查。接著,它會將銀行木馬植入受感染的裝置。
它最常偽裝成生產力和實用應用程式,如通話錄音軟體、文件/二維碼掃描程式和VPN服務 – 這些可疑應用程式大多都已從Play商店移除,但還是會有類似應用程式不斷出現。
以下是在Google Play中被發現夾帶惡意軟體的 14 款惡意應用程式:
繼續閱讀隨著越來越多使用者使用網路銀行,有越來越多銀行惡意軟體出現也就並不令人驚訝了。事實上,趨勢科技在2013年看到有將近一百萬的新銀行惡意軟體變種出現,是前一年的兩倍。銀行惡意軟體趨勢一直持續到今年,加入了新的惡意軟體,甚至是新的技術。
就在趨勢科技發現會利用Windows安全功能的銀行惡意軟體後幾個星期,我們注意到另一個銀行惡意軟體。讓這個被偵測為EMOTET的惡意軟體特別值得注意的是,它會「監聽」網路流量以竊取資料。
垃圾郵件連結
EMOTET變種會透過垃圾郵件到達。這些郵件通常和銀行轉帳和快遞收據有關。收到這些電子郵件的使用者可能會被說服點入連結,因為該郵件跟金融交易有關。
圖一、垃圾郵件樣本
圖二、垃圾郵件樣本
裡面出現的連結會導致下載EMOTET變種到系統內。
通過網路監聽竊取
一旦進入系統,惡意軟體會下載它的組件檔案,包括內含惡意軟體目標銀行資訊的設定檔案。工程師所分析的變種顯示某些德國的銀行被列入監控網站列表。但是請注意,可能會有不同的設定檔案。因此,不同的設定檔案可能也會包含不同銀行的監控資訊。
另一個下載的檔案是會注入到所有程序的DLL檔案,負責攔截和記錄對外的網路流量。當注入到瀏覽器,這惡意DLL會用先前下載的設定檔案內的字串來比對所訪問的網站。
如果字串符合,該惡意軟體會取得存取的網址和送出的資料來重組出資訊。該惡意軟體會將網站內容全都儲存下來,代表可以竊取和儲存任何資料。
EMOTET甚至可以「監聽」透過安全連線送出的資料,因為它可以掛到下列網路API來監控網路流量:
趨勢科技的研究人員嘗試登錄會被惡意軟體給擷取,儘管該網站使用HTTPS。
圖三和圖四、嘗試登錄會被該惡意軟體所擷取