英、意、美發現新型移動惡意軟件

Cleafy 的網絡安全研究人員發現了一種新的 Android 銀行木馬，它能夠通過濫用 ATS 來規避多因素身份驗證控制。

10 月底，來自 Cleafy 的網絡安全研究人員發現了該惡意軟件，該惡意軟件似乎不屬于任何已知家族。 

現在被稱為 SharkBot 的 Android 惡意軟件已被追蹤，其攻擊重點是從運行谷歌 Android 操作系統的易受攻擊的手機中竊取資金。 

到目前為止，已經在英國、意大利和美國發現了感染。 

相信SharkBot很可能是一個私有僵尸網絡，目前仍處于早期發展階段。

研究人員稱，SharkBot 是模塊化惡意軟件，屬于能夠基于自動傳輸系統 (ATS) 系統執行攻擊的下一代移動惡意軟件。 

ATS 允許攻擊者以最少的人工輸入自動填寫受感染設備上的字段。與 Gustuff 銀行木馬相同，啟動自動填充服務以促進通過合法金融服務應用程序進行欺詐性資金轉移——這是惡意軟件開發的總體趨勢，也是手機上舊盜竊技術（例如使用網絡釣魚）的一個支點域。 

Cleafy 建議 SharkBot 使用這種技術來試圖繞過行為分析、生物特征檢查和多因素身份驗證 (MFA)——因為不需要注冊新設備。然而，為了做到這一點，惡意軟件必須首先破壞 Android 無障礙服務。 

一旦在 Android 手機上執行，SharkBot 將立即請求可訪問權限——并會用彈出窗口困擾受害者，直到獲得批準。 

不顯示安裝圖標。現在有了它需要的所有手機權限，SharkBot 將悄悄地執行標準的窗口覆蓋攻擊，以竊取憑據和信用卡信息、基于 ATS 的盜竊，并且還能夠鍵入日志并攔截或隱藏傳入的 SMS 消息。 

研究人員表示，銀行木馬還能夠代表受害者執行“手勢”。 

國際銀行和加密貨幣服務提供的應用程序正在成為目標。  

一線希望是在官方 Android 應用程序存儲庫 Google Play 商店中沒有找到任何示例。相反，惡意軟件必須通過旁加載從外部源加載——供應商警告的這種做法可能很危險，因為這允許惡意應用程序繞過 Google Play 安全控制。 

在撰寫本文時，SharkBot 的防病毒解決方案檢測率很低。 

Cleafy 說：“隨著 SharkBot 的發現，我們展示了移動惡意軟件如何快速尋找新的欺詐方法，試圖繞過多家銀行和金融服務機構在過去幾年實施的行為檢測對策的新證據。” “就像過去幾年工作站惡意軟件的演變一樣，在移動領域，我們看到了向 ATS 攻擊等更復雜模式的快速演變。”