安全研究员发现一款名为 “Red Alert 2.0” 的新型安卓银行木马,它是前几个月前开发的,最近已进入分发阶段。
SfyLabs的安全研究人员首先在今年春天的一个俄语黑客论坛上发现这款木马的广告。前几周,研究人员发现了受RedAlert感染的首批app,并已追踪到管理该木马的C&C服务器。
Red Alert还未在应用商店发布
传播RedAlert的所有app都托管在第三方安卓app应用商店中。SfyLabs表示在目前尚未发现Red Alert app进入谷歌应用商店。虽然Red Alert是移动银行木马中的新面孔,但它的运作方式跟之前木马类似。它会一直隐藏并等待用户打开一款银行app或社交媒体app。一旦这个条件满足,那么木马就会在原始app顶部显示一个基于HTML的覆盖层,警告用户出错并要求重新验证。随后,RedAlert就会收集用户凭证并将该信息发送给C&C服务器。
掌控RedAlert控制面板的人就会拿走这些凭证并访问受害者的银行账户从事欺诈性交易,或者访问受害者的社交媒体app粘贴垃圾消息或对其它内容进行虚假点赞。
Red Alert包含的功能可从受感染设备中收集通讯录列表。另外,还能绕过双因素验证并印制通知,它还能控制受感染手机的SMS功能。
从RedAlert的论坛广告更改日志来看,它最近的一项功能是能够自动拦截跟银行和金融机构相关联的来电。
500美元可租赁
SfyLabs的首席执行官兼创始人Cengiz Han Sahin表示,Red Alert作者正在以500美元的价格租赁这款木马。Sahin指出,几乎每隔两天就会出现新的HTML覆盖层。另外,Red Alert的作者还正在开发SOCKS和VNC模块,为受感染设备增加远程控制功能,为RedAlert增强类似RAT的功能。
Sahin指出,Red Alert之所以引起研究人员的注意是因为它是近几年来为数不多的从零开始编写的银行木马。最近出现的几乎所有安卓银行木马如Exobot、BankBot或AgressiveX AndroBot都是基于之前已存在于恶意软件市场上的恶意软件。
针对所有6.0及之前的安卓版本
Sahin指出,Red Alert能够针对运行安卓6.0及以前版本的智能手机。专家指出,Red Alert能够为60多款银行和社交媒体app显示HTML覆盖层。这款木马似乎并非针对某个具体国家的用户,不过采用了一种突击销售法,为多数著名的银行和金融机构提供覆盖层。
由于RedAlert的作者旨在吸引尽可能多的潜在买家,因此这种随机针对的方法对于它的租赁系统而言是很有可能成立的。
用户可通过不使用第三方应用商店并坚持使用谷歌应用商店的做法避免遭受安卓恶意软件的感染。
原文链接:https://www.bleepingcomputer.com/news/security/researchers-discover-new-android-banking-trojan/.
专家点评:
1、从正规渠道下载APP(豌豆荚、百度手机助手等大型市场),安装时注意查看权限。在相关权限与软件本身无关情况下,如非必须就尽量不要安装。跟软件本身功能无关的权限,如APP向用户索要,其实就是一种可疑的行为。
2、留意手机定位图标,GPS标签是否处于通讯状态。手机GPS功能,是管理并且控制用户手机进行地位位置定位的重要方式,如果用户打开GPS信息,右上方会有GPS卫星标志闪动。
3、留意流量符号,查看GPRS是否接通并运作。如果用户在没有联网的情况下,手机流量在莫名其妙的上传或下载,那么手机上方会闪动“E”标志。用户最好下载一些正规的流量监控软件,如果监测测到某些APP流量耗费多而本身又无联网需求,用户应该注意。
4、小白用户尽量不要Root。Root相当于用户自己获得了手机的最高控制权,但是小白用户未必能自行管理好手机,特别是老年人,很容易受到不良应用的迷惑。为了减少手机被侵入的威胁,小白用户最好还是别Root了。