警惕更加阴险的Android银行恶意软件——BrazKing
2021-11-25 11:15:27 Author: www.freebuf.com(查看原文) 阅读量:17 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

据The Hacker News网站报道,一款更加隐蔽的Android恶意程序正紧盯着用户的钱袋子,它能通过窃取双因素身份验证码 (2FA) ,从受感染设备的银行账户中盗取资金。

IBM威胁情报平台X-Force将这款恶意软件称为BrazKing,其前身为PixStealer,二者都通过滥用Android无障碍服务对银行应用执行覆盖攻击。

以前的PixStealer可检测用户正在打开的应用,并从硬编码URL 中检索虚假屏幕进行替换。

而现在,BrazKing的手段更加高明,在服务器端就能对被打开的应用进行检测,将屏幕上的内容发送到命令和控制服务器(C2),然后从C2 服务器激活凭据抓取,而不是通过软件的自动命令。

在反检测方面,BrazKing能监视用户的防病毒行为,当用户启动防病毒软件或执行应用卸载时,BrazKing能够以非常快的速度触发点击“返回”和“主页”按钮,将界面强行返回主屏幕。

总的来说,BrazKing允许攻击者与设备上正在运行的应用程序发生交互,通过显示虚假的覆盖屏幕,并记录用户在银行类应用中的按键情况,获取相关密码及验证码,最终达到窃取资金的目的。期间,BrazKing充分利用了Android 的无障碍功能服务获得更多权限,从而能够实施读取 SMS 消息、捕获按键和访问联系人列表等行为。

这样的犯罪手法看似高效,但实施整个犯罪链条的第一步,还是那个虽然传统、却很容易中招的方式——网络钓鱼。通过向目标用户发送一条包含链接的钓鱼短信,当用户点击时会转到一个伪装的谷歌安全提示页面,声称因设备安全问题网页已被阻止访问,并引导用户点击“更新“按钮,用户一旦点击,就等于引狼入室,BrazKing将通过浏览器下载至设备中。

模仿谷歌的安全提示页面

而最后的防线,还在于用户是否同意系安装未知来源的应用程序,但攻击者以谷歌的提示为幌子,最终骗取了不少用户的信任。

随着面网上银行的逐步普及,过去主要活跃于桌面端的银行恶意程序,要么演变成更具有针对性商业电子邮件欺诈(BEC)、勒索攻击等,要么也正向移动端转移,后者往往更加针对普通消费者领域,需要普通民众提高警惕。

参考来源:https://thehackernews.com/2021/11/more-stealthier-version-of-brazking.html


文章来源: https://www.freebuf.com/news/305905.html
如有侵权请联系:admin#unsafe.sh