一款能够进行未经授权的即时转账的Android银行木马正在以巴西的银行为目标,这是威胁行动者利用拉丁美洲一个新的自动支付系统的日益增长趋势的一部分。
Cyble的研究人员在一篇博客文章中透露,与之前的BraxDex、Senomorphy和PixPirate一样,新的GoatRAT会窃取目标移动设备的Pix密钥,从受损账户中进行即时支付。GoatRAT背后的攻击者使用该密钥访问Pix支付平台,该平台由巴西中央银行创建和运营,供用户在拉丁美洲各地使用各种银行进行即时移动支付。
到目前为止,Cyble的研究人员已经观察到RAT病毒。他们说RAT病毒最初是作为Android远程管理工具来控制受害者的设备。攻击了三家巴西银行:NUBank、Banco Inter和PagBank。
根据调查结果,自动转账似乎是该木马的唯一目的,与类似的恶意软件不同,它不包括窃取身份验证码或传入短信的能力。
Cyble的研究人员写道:“在过去六个月里,威胁行为者创造了更复杂的银行恶意软件,其中包括一个自动转账系统(ATS)框架,允许攻击者在受感染的设备上进行未经授权的资金转账”,这种恶意软件是这种趋势的一部分。”
报告称:“这种新的变种凸显出,在当前的技术环境下,不需要多个权限或许多银行木马功能就能实施金融欺诈的网络攻击风险上升。”
事实上,根据卡巴斯基的《2022年移动威胁》报告,移动银行木马的总体部署正在上升,在2022年将出现近20万个这种恶意软件的新变种。这一数字比前一年增长了100%,是过去六年来移动恶意软件开发速度最快的一年。
一旦GoatRAT感染了用户的设备,它通常会通过四个步骤来执行自动传输。研究人员概述了专门用于Banco Inter移动银行应用程序的系统。不过,他们表示,该木马还包含了类似的功能,可以对其他银行应用程序(如NUBank和PagBank)进行自动转账。
GoatRAT首先滥用Android设备上的可访问性服务来验证活动包的名称是否与目标应用程序包名称列表中的一个相匹配,然后部署进一步的感染。
一旦目标应用程序被识别,恶意软件就会在合法应用程序上方创建一个虚假的银行覆盖窗口,以向受害者隐藏其恶意活动。研究人员说:“这种方法和另一种秘密程序允许木马在不通知受害者的情况下,将要转账的金额以及设备的Pix密钥输入到合法的银行应用程序中。”
该恶意软件还为合法银行应用程序的“确认”和“支付”按钮引入了自动点击机制,以完成即时转账。一旦转账完成,它就会从合法银行应用程序的顶部移除覆盖窗口,恶意过程也就结束了。
6576
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
