安全企业ThreatFabric本周披露了一个新的Android恶意程序Xenomorph,它伪装成各种合法的程序,待用户安装后再下载金融木马程序,瞄准56家欧洲银行与若干程序的用户,估计至少已有超过5万台Android设备安装了Xenomorph。
ThreatFabric始于今年2月发现Xenomorph,它隐藏在各种合法程序中,迄今绩效最好的是一个曾于Google Play上架的Fast Cleaner程序,它宣称可清除手机上不需要的资料以强化手机性能,延长电池续航力,该程序的作者为ilzeeva4,安装次数已超过5万次。
当用户下载并安装Xenomorph之后,它会不断要求用户赋给它“无障碍服务”(Accessiblity Services)的权限,因为黑客取得了该权限才得以执行“覆盖攻击”(Overlay Attack);也即当侦测到用户打开特定的程序时,便出现一个恶意的覆盖接口,以诱导用户输入自己的凭证,再将所窃来的凭证发送至由黑客掌控的远程服务器。
图片来源/ThreatFabric
而这些遭到黑客锁定的特定程序则涵盖了56款金融程序,Coinbase、Bitfinex及Binance等多种加密货币钱包,以及PayPal、Gmail与Yahoo Mail等,目标对象为西班牙、葡萄牙、意大利及比利时等欧洲用户。
目前Xenomorph除了内置覆盖攻击能力之外,也能记录设备的短信、干预通知并防止用户将它移除,研究人员推测它还在早期开发阶段,因为有许多已列出的功能都尚未实现,而且相信它有朝一日将成为能力强大的金融木马程序。
虽然Google不断加强Google Play的安全机制,但恶意程序作者则千方百计绕过Google的审查,例如尽量缩小恶意程序的足迹、每次都只传送很少的恶意程序更新,或者是只于特定地区安装木马程序等,而让Fast Cleaner成功登上Google Play。值得注意的是,就算Google已经移除了Fast Cleaner,但仍有许多网站推荐并提供该程序的下载,用户下载移动程序时务必要小心。