荷兰移动安全企业ThreatFabric上周披露了一个新的金融木马程序Octo,指出它具备远程控制Android设备的能力,可取得受害设备屏幕所呈现的所有内容,而且已被至少5个黑客组织所使用。
ThreatFabric认为Octo应该是Exobot金融木马家族的后代,版本别为ExobotCompact.D,最早出现在去年11月,为了消除买家对Exobot源码已外泄的疑虑,作者将在今年1月将ExobotCompact.D更名为Octo,并通过黑客论坛租赁。
与先前的版本相较,Octo具备了远程访问能力,它利用Android平台的MediaProjection功能来进行屏幕流媒体,再借由另一个AccessibilityService功能自远程执行任务,前者每秒可发送一次受害设备上的屏幕截屏,使得黑客得以密切观察受害设备的状态,意味着黑客得以控制设备上的密码管理程序、加密货币钱包程序、银行程序、双因素认证程序及游戏登录等,很容易便能执行设备诈骗。
Octo利用Google Play或是网络钓鱼短信进入受害者手机,它被嵌在许多应用程序中,或是发送假冒为Chrome、金融程序或通讯程序的更新连接;一旦成功进驻受害设备,它就能拦截短信或通知,取得设备上的通讯录,还能记录通话;Octo也具备覆盖攻击(Overlay Attack)与键盘监听能力,可控制具输入字段的程序,取得出现在屏幕上的一次性密码;还能躲避杀毒软件的侦测,并避免遭用户移除。
研究人员发现,包括Octo作者在内,至少已有5个黑客组织使用Octo僵尸网络展开攻击,其中一个组织打造了附带Octo的Fast Cleaner程序,并登上了Google Play,有超过5万个Android设备安装了该程序,它锁定西班牙、比利时、葡萄牙与意大利的金融机构客户展开攻击。
图片来源/ThreatFabric
成功登上Google Play的Octo恶意程序并不多,根据ThreatFabric的观察,这些黑客在租赁Octo服务之后,大多利用网络钓鱼短信引诱用户至第三方网站下载恶意程序,这些恶意程序可能伪装成Google Play、Chrome、各种金融程序或各种通讯程序的更新。
总之,虽然恶意程序也可能会成功溜进Google Play,但比例毕竟不高,Android用户必须特别留意那些来自短信的更新连接。