新型Android木马“鳄鱼”滥用无障碍功能窃取银行和加密货币凭证

新型Android木马“鳄鱼”滥用无障碍功能窃取银行和加密货币凭证

网络安全研究人员发现了一种名为“鳄鱼”的新型Android银行木马，它主要针对西班牙和土耳其的用户。

“鳄鱼”并非简单的仿制品，而是一种从一开始就具备现代技术的完整威胁，例如远程控制、黑屏覆盖以及通过无障碍功能日志进行高级数据收集。ThreatFabric表示。

与其他同类银行木马一样，该恶意软件旨在实现设备接管（DTO），并最终进行欺诈交易。源代码和调试信息的分析显示，该恶意软件作者使用土耳其语。

荷兰移动安全公司分析的“鳄鱼”样本伪装成谷歌浏览器（包名：“quizzical.washbowl.calamity”），它作为一个投放器，能够绕过Android 13+的限制。

一旦安装并启动，该应用会请求访问Android无障碍服务的权限，随后与远程服务器建立联系，接收进一步指令、要针对的金融应用列表以及用于窃取凭证的HTML覆盖层。

“鳄鱼”还能够针对加密货币钱包，通过覆盖层显示一条警告信息，而不是提供一个虚假的登录页面来捕获登录信息，而是敦促受害者在12小时内备份他们的种子短语，否则将失去对其钱包的访问权限。

这种社会工程学伎俩实际上是攻击者引导受害者导航到他们的种子短语的一种手段，随后通过滥用无障碍服务来收集这些短语，从而让他们能够完全控制钱包并耗尽资产。

“它持续运行，监控应用启动并在屏幕上显示覆盖层以拦截凭证，”ThreatFabric表示。“该恶意软件监控所有无障碍事件并捕获屏幕上显示的所有元素。”

这使得恶意软件能够记录受害者在屏幕上进行的所有活动，以及触发对谷歌身份验证器应用内容的屏幕截图。

“鳄鱼”的另一个特点是其能够通过显示黑屏覆盖层以及静音声音来隐藏设备上的恶意行为，从而确保它们不会被受害者发现。

该恶意软件支持的一些重要功能如下：

• 启动指定应用
• 从设备中自我删除
• 发送推送通知
• 向所有/选定联系人发送短信
• 获取联系人列表
• 获取已安装应用列表
• 获取短信
• 请求设备管理员权限
• 启用黑屏覆盖
• 更新C2服务器设置
• 启用/禁用声音
• 启用/禁用键盘记录
• 将自身设置为默认短信管理器

“鳄鱼”移动银行木马的出现标志着现代恶意软件所构成的复杂性和威胁等级显著升级，ThreatFabric表示。

“凭借其先进的设备接管能力、远程控制功能以及从其最初版本就开始部署的黑屏覆盖攻击，‘鳄鱼’展现出了一种在新发现的威胁中不常见的成熟度。”

与此同时，Forcepoint披露了一项钓鱼活动的细节，该活动被发现利用税收主题的诱饵来传播针对墨西哥、阿根廷和西班牙Windows用户的Grandoreiro银行木马，通过混淆的Visual Basic脚本进行传播。

这篇文章有趣吗？关注我们的Twitter和LinkedIn，阅读我们发布的更多独家内容。