危險的手機銀行特洛伊木馬讓“鍵盤記錄器”竊取一切

安全研究人員發現，最危險的安卓銀行特洛伊木馬家族之一現已被修改，在其最近的變種中添加了一個鍵盤記錄器，為攻擊者提供了另一種竊取受害者敏感數據的方法。

卡巴斯基實驗室的高級惡意軟件分析師羅曼·烏努切克發現了著名的安卓銀行特洛伊木馬的一個新變種，名為斯文朋上個月中旬發布了一款新的鍵盤記錄功能，該功能利用了Android的易訪問性服務。

特洛伊木馬利用“可訪問性服務”添加鍵盤記錄器

是的，Svpeng新版本中添加的鍵盤記錄器利用了輔助性服務— Android功能為用戶提供了與智能手機設備交互的替代方式。

這一變化使Svpeng特洛伊木馬不僅能夠從設備上安裝的其他應用程序中竊取輸入的文本并記錄所有擊鍵，還可以授予自身更多權限，以防止受害者卸載特洛伊木馬。

去年11月，在谷歌AdSense廣告的幫助下，Svpeng銀行特洛伊木馬在短短兩個月的時間里感染了全球超過31.8萬臺Android設備，這些廣告被濫用，傳播了惡意銀行特洛伊木馬。

一個多月前，研究人員還發現了另一個利用Android可訪問性服務的攻擊，名為隱形匕首攻擊，這使得黑客可以悄悄地完全控制受感染的設備并竊取私人數據。

如果你是俄羅斯人，你就安全了！

盡管Svpeng惡意軟件的新變種尚未廣泛部署，但在一周的時間里，該惡意軟件已經攻擊了23個國家的用戶，其中包括俄羅斯、德國、土耳其、波蘭和法國。

但值得注意的是，盡管大多數受感染的用戶來自俄羅斯，但Svpeng特洛伊木馬的新變種不會在這些設備上執行惡意操作。

據Unuchek稱，在感染設備后，特洛伊木馬程序首先檢查設備的語言。如果語言是俄語，惡意軟件會阻止進一步的惡意任務—；這表明該惡意軟件背后的犯罪集團是俄羅斯人，他們正在避免通過黑客攻擊當地人來違反俄羅斯法律。

“Svpeng”特洛伊木馬如何竊取您的資金

Unuchek說，他在7月份發現的最新版本的Svpeng是通過偽裝成假Flash播放器的惡意網站傳播的。

正如我前面提到的，一旦安裝，惡意軟件會首先檢查設備語言，如果語言不是俄語，會要求設備使用可訪問性服務，這會使受感染的設備面臨許多危險的攻擊。

通過訪問可訪問性服務，特洛伊木馬授予自己設備管理員權限，在合法應用的頂部顯示覆蓋，將自己安裝為默認SMS應用，并授予自己一些動態權限，例如撥打電話、發送和接收SMS以及讀取聯系人的能力。

此外，利用新獲得的管理功能，該特洛伊木馬可以阻止受害者刪除設備管理員權限的每一次嘗試—；從而防止卸載惡意軟件。

通過易訪問性服務，Svpeng可以訪問設備上其他應用程序的內部工作，允許特洛伊木馬竊取在其他應用程序上輸入的文本，并在受害者每次按下鍵盤上的按鈕時截屏，以及其他可用數據。

Unuchek說：“一些應用程序，主要是銀行應用程序，不允許在上面截圖。在這種情況下，特洛伊木馬程序還有另一個選項可以竊取數據–；它會在被攻擊的應用程序上繪制釣魚窗口。”。

“有趣的是，為了找出哪個應用程序在上面，它還使用了可訪問性服務。”

所有被盜信息隨后被上傳到攻擊者的命令和控制（C&C）服務器。作為研究的一部分，Unuchek說他設法從惡意軟件的C&amp；C服務器。

解密該文件有助于他找到Svpeng針對的一些網站和應用程序，并幫助他獲得PayPal和eBay移動應用程序的釣魚頁面URL，以及來自英國、德國、土耳其、澳大利亞、法國、波蘭和新加坡的銀行應用程序鏈接。

除了URL，該文件還允許惡意軟件接收來自C&amp；C服務器，包括發送短信、收集聯系人、已安裝的應用程序和通話記錄等信息、打開惡意鏈接、收集設備上的所有短信，以及竊取收到的短信。

ESET的惡意軟件研究人員盧卡斯·斯特凡科（Lukas Stefanko）與《黑客新聞》（The Hacker News）分享了一段視頻（見下文），展示了該惡意軟件的工作原理。

“Svpeng”安卓銀行惡意軟件的演變

卡巴斯基實驗室的研究人員最初在2013年發現了Svpeng安卓銀行惡意軟件特洛伊木馬，其主要功能為—；網絡釣魚

早在2014年，該惡意軟件被修改為添加一個勒索軟件組件，該組件鎖定了受害者的設備（FBI因為他們訪問了包含色情內容的網站），并向用戶索要500美元。

該惡意軟件是最早開始攻擊短信銀行業務、使用網絡釣魚網頁覆蓋其他應用程序以竊取銀行憑證、攔截設備和要錢的軟件之一。

2016年，網絡犯罪分子利用Chrome web瀏覽器中的漏洞通過谷歌AdSense積極傳播Svpeng，現在濫用無障礙服務，這可能使Svpeng成為迄今為止最危險的移動銀行惡意軟件家族，幾乎可以竊取任何東西—；從你的Facebook憑證到你的信用卡和銀行賬戶。

如何保護你的智能手機免受黑客攻擊

僅通過可訪問性服務，此銀行特洛伊木馬就可以獲得從受感染設備竊取大量數據所需的所有權限。

Svpeng惡意軟件的惡意技術甚至可以在安裝了最新Android版本和所有安全更新的完全更新的Android設備上工作，因此用戶幾乎無法保護自己。

為了不受影響，您需要遵循以下標準保護措施：

• 始終堅持使用可信任的資源，如谷歌Play Store和蘋果應用商店，但僅限于來自可信任且經過驗證的開發人員。
• 最重要的是，在安裝應用程序之前驗證應用程序權限。如果任何應用程序的要求超出了它的用途，就不要安裝它。
• 不要從第三方下載應用程序，因為此類惡意軟件通常通過不受信任的第三方傳播。
• 避免未知和不安全的Wi-Fi熱點，并在不使用時關閉Wi-Fi。
• 永遠不要點擊短信、彩信或電子郵件中提供的鏈接。即使電子郵件看起來合法，也可以直接訪問原始網站并驗證任何可能的更新。
• 安裝一個好的防病毒應用程序，可以在惡意軟件感染你的設備之前檢測并阻止它，并始終保持應用程序的最新狀態。