用微信等於裸奔 中共对网络用戶全面监控
目录:
几种恶意Android应用旨在窃取银行通过短信向其客户发送的移动交易验证号码(mTAN) (短消息服务)是由反病毒供应商卡巴斯基实验室的研究人员在Google Play上发现的
这些应用程序是由一个团伙创建的,该团伙使用Carberp银行恶意软件的一个变体来瞄准几家俄罗斯银行的客户Denis Maslennikov卡巴斯基的高级恶意软件分析师周五在一篇博客文章中称。
许多银行使用mTAN作为安全机制来防止网络犯罪分子从受损的网上银行帐户转移资金TS。当从网上银行账户开始交易时,银行通过SMS向账户所有者的电话号码发送称为mTAN的唯一代码。账户所有者必须将该代码输入到在线银行网站以便交易得到授权。
为了击败这种类型的防御,网络犯罪分子创建了恶意移动应用程序,可自动隐藏从与目标银行相关联的号码收到的SMS消息,并将消息无声地上传回其服务器。受害者被欺骗,通过从受感染的计算机访问其银行网站时显示的恶意消息,在手机上下载并安装这些应用程序。
以前,SMS窃取应用程序与Zeus和SpyEye银行木马程序一起使用,被称为宙斯(ZitMo)和SpyEye-in-the-Mobile(SpitMo)组件。然而,这是第一次发现专门为Carberp恶意软件设计的流氓移动组件,Maslennikov说。
与Zeus和SpyEye不同,Carberp木马程序主要用于锁定来自俄罗斯和其他俄罗斯的网上银行客户,乌克兰,白俄罗斯或哈萨克斯坦等地的非洲国家。
被其他帮派篡夺的木马
根据7月份反病毒供应商ESET的报告,俄罗斯当局逮捕了三个最大的Carberp行动背后的人。然而,恶意软件继续被其他团伙使用,并且正在地下市场上销售,价格在5,000到4万美元之间,具体取决于版本和功能。
“这是我们第一次看到手机恶意软件来自Carberp团伙的组件,“防病毒供应商ESET的高级恶意软件研究员Aleksandr Matrosov周五通过电子邮件表示。 “移动组件只能由一个Carberp团队使用,但我们目前无法透露更多细节。”
Google Play上发现的新Carberp-in-the-Mobile(CitMo)应用伪装成Sberbank的移动应用和俄罗斯最大的两家银行Alfa-Bank以及俄罗斯最受欢迎的在线社交网络服务VKontakte,Maslennikov说。卡巴斯基周三联系了Google,而且所有的CitMo变种都在周四之前从市场上删除了,但是,网络犯罪分子设法首先将这些应用上传到Google Play这一事实引发了关于应用市场效率问题的疑问反恶意软件防御功能,例如今年早些时候Google宣布的Bouncer反恶意软件扫描程序。
“Maslennikov通过电子邮件表示,”似乎绕过Google Play的防御措施并不难,因为恶意软件会持续出现在那里。“
防病毒软件供应商Bitdefender的高级电子威胁分析师Bogdan Botezatu认为,Google的Bouncer可能很难检测到ZitMo,SpitMo或CitMo组件,因为它们在功能上与某些合法应用程序相似
“手机版本的木马只负责劫持收到的短信并将其内容转发给其他收件人,并且在合法应用程序中也可以找到此行为,例如SMS mana gement应用程序甚至应用程序,允许用户在他们被盗或丢失的情况下通过SMS远程控制他们的设备,“他通过电子邮件说。 “短信截取功能在论坛上有详细记录,并附有示例代码。如果在恶意和合法应用中使用相同的示例代码,则更难以检测和阻止。”
Botezatu表示,使用Google Play分发窃取应用程序的SMS能够为网络犯罪分子提供优势。首先,一些用户设备被配置为仅安装从Google Play获得的应用。此外,用户通常不会对通过Google Play下载的应用程序产生怀疑,因为他们希望应用程序成为他们的描述所宣称的应用程序,所以他们不太关注他们的权限,“他说。