Android 平台 BankBot 惡意程式:ANDROIDOS_BANKBOT, 首次現身於今年 1 月。根據報導,它是從某個外流至地下駭客論壇的不知名公開原始碼銀行惡意程式強化而來。BankBot 之所以尤其危險,是因為它會偽裝正常的銀行應用程式,將自己的網頁覆蓋在正常的銀行應用程式操作介面上,進而騙取使用者的帳號密碼。此外,BankBot 還能攔截手機簡訊,因此不怕使用者啟用手機簡訊雙重認證。
Google Play 商店發現 BankBot 惡意程式偽裝成正常的應用程式到處散佈
在這一整年當中,Bankbot 一直偽裝成正常的應用程式到處散布,有些甚至在熱門應用程式商店上架。今年 4 月和 7 月,Google Play 商店上出現了含有 Bankbot 惡意程式的娛樂或網路銀行應用程式,總數超過 20 個以上。
最近,趨勢科技在 Google Play 商店上發現了五個新的 Bankbot 應用程式,其中有四個假冒成工具軟體。有兩個被立即下架,其他兩個則待得久一點,因此已經被使用者下載。BankBot 的下載次數約在 5000-10000 之間。
這次的 BankBot 新變種會偽裝成 27 個國家的銀行應用程式。此外,被假冒的應用程式數量也從 150 個增加到 160 個,新增了十家阿拉伯聯合大公國銀行的應用程式。
最新的 BankBot 版本只有在裝置滿足以下條件時才會運作:
- 執行環境必須是真實的裝置 (而非模擬器)
- 裝置所在位置不能在獨立國協 (CIS) 國家境內
- 手機上原本就已安裝它所要假冒的應用程式
將山寨網頁覆蓋在正常銀行應用程式上方,以攔截使用者所輸入的帳號密碼
當 BankBot 成功安裝到手機上並且開始執行時,它會檢查裝置上安裝了哪些應用程式。一旦找到它可假冒的銀行應用程式,就會試圖連上幕後操縱 (C&C) 伺服器,然後將該銀行應用程式的套件名稱和標籤上傳至伺服器。接著,C&C 伺服器會傳送一個網址給 BankBot,好讓它下載一組程式庫,內含用來覆蓋在銀行應用程式畫面上的網頁。惡意程式會將這些網頁覆蓋在正常銀行應用程式的畫面正上方,這樣就能攔截使用者所輸入的帳號密碼。 繼續閱讀
