惡意 Android 應用程序針對伊朗銀行業發起攻擊

伊朗銀行客戶都無法免受出于經濟動機的網絡犯罪分子的攻擊，這些犯罪分子使用令人信服但虛假的移動應用程序。

近幾個月來，針對伊朗銀行業的大規模活動規模不斷擴大，近 300 個惡意 Android 應用程序針對用戶的賬戶憑據、信用卡和加密錢包發起攻擊。

四個月前，Sophos 的研究人員詳細介紹了一場漫長的活動，涉及 40 個惡意銀行應用程序，旨在獲取屬于不知情客戶的憑據。通過模仿伊斯蘭共和國最重要的四家金融機構——梅拉特銀行、薩德拉特銀行、雷薩拉特銀行和伊朗中央銀行——黑客能夠在受害者的手機上安裝和隱藏他們的山寨應用程序，獲取登錄信息，攔截短信一次性密碼，并竊取敏感的財務信息，包括信用卡。

顯然，這只是開場。Zimperium 的一篇新博客文章披露了另外 245 個應用程序與同一明顯正在進行的活動相關，其中 28 個應用程序之前未在 VirusTotal 上記錄。

這個新寶庫不僅更大，而且比前 40 個寶庫更多樣化、更復雜，具有新的目標類型以及隱秘和持久的戰術。

285 虛假銀行應用程序

自今年夏天以來發現的 245 個新應用程序超出了最初 40 個應用程序的范圍，積極針對四家新的伊朗銀行，有證據表明他們還瞄準了另外四家銀行。

除了銀行之外，攻擊者還開始探測與 16 個加密貨幣平臺相關的數據，包括 Metamask、KuCoin 和 Coinbase 等流行平臺。

為了便于瞄準十幾家銀行和 16 個加密貨幣中心，攻擊者還在他們的武器庫中添加了一些新工具。例如，他們用來避免基礎設施癱瘓的一個小技巧涉及命令和控制服務器，其唯一目的是分發網絡釣魚鏈接。正如研究人員解釋的那樣，這“允許在應用程序上對服務器 URL 進行硬編碼，而不會有被刪除的風險。”

然而，該組織最引人注目的新策略是其應用程序如何濫用無障礙服務。

“在使用輔助功能 API 時，他們獲得了一種以編程方式訪問 UI 元素的方法，”Zimperium 首席科學家 Nico Chiaraviglio 解釋道。他解釋說，攻擊者可以通過某些與用戶相同的方式與設備進行隱形交互，從而達到惡意效果。例如，“他們可以請求危險權限（例如閱讀短信），當提示用戶接受該權限時，他們甚至在用戶看到通知之前就單擊“接受”。或者，他們通過單擊“取消”來阻止卸載’當用戶嘗試卸載應用程序時。”

到目前為止，假冒應用程序僅限于 Android 設備。但在攻擊者的物品中，研究人員確實發現了模仿銀行應用程序 Apple App Store 頁面的網絡釣魚網站，這表明該活動可能會在不久的將來擴展到 iPhone。

早在這一切發生之前，該活動就已經影響了數千人。“根據從他們的 Telegram 頻道之一獲得的信息，我們知道有數千名受害者。但我們只能訪問所使用的頻道之一（因為其中一個頻道是私人的），并且不能保證他們沒有這樣做過去使用其他渠道。”