研究人員正在跟踪過去幾個月來一直在快速改進的Android木馬。它使用覆蓋攻擊從銀行和其他應用程序的用戶那裡竊取登錄憑據和支付卡詳細信息。

據荷蘭網絡安全公司ThreatFabric的研究人員稱,該木馬被稱為Ginp,於2019年10月首次被發現,但至少從6月開始就開始流行。在過去的五個月中,該惡意軟件得到了許多改進,包括從較舊的商業銀行特洛伊木馬程序Anubis借用的某些功能。

不斷發展的威脅
Ginp最初是從零開始構建的新木馬,後來被偽裝成名為Google Play Verificator的應用程序。它從設備竊取了傳入和傳出的SMS消息。8月發布的更高版本增加了覆蓋攻擊,這涉及打開窗口時在其他應用程序上方顯示窗口。

最初,木馬使用通用的覆蓋窗口,在打開流行的應用程序(例如Google Play,Facebook,WhatsApp,Chrome,Skype,Instagram和Twitter)時,要求用戶提供支付卡信息。再一次迭代增加了有效負載混淆功能,使檢測更加困難,並將Snapchat和Viber添加到目標應用程序列表中,以及特定銀行應用程序的專用覆蓋圖。

本月初發布的最新版本的特洛伊木馬帶來了重大變化。作者從另一個名為Anubis的Android木馬複製了代碼,該木馬於今年早些時候洩漏,以增強其覆蓋攻擊。現在,它的目標是來自七個西班牙銀行的24個應用程序,每個應用程序都有獨特的覆蓋圖,這些覆蓋圖是從命令和控制服務器動態加載的。仍然使用較舊的通用覆蓋方法,但僅適用於Google Play。其他社交和實用程序應用程序不再是目標。

2019年11月的版本標誌著攻擊者的操作方式已從不加區分的針對社交應用程序用戶的目標變為針對網上銀行客戶的特定目標。目前的重點是西班牙銀行,但是隨著攻擊者為其他銀行應用構建覆蓋時,情況可能會有所改變。

“儘管實際目標是西班牙銀行業應用程序,但要查看注入請求中使用的路徑,但值得注意的是,覆蓋路徑包括國家/地區代碼

目標機構”,ThreatFabric研究人員在今天發布的報告中說。“這可能表明參與者已經計劃將目標擴展到來自不同國家和地區的應用程序。”

重疊式攻擊仍在繼續
Android惡意軟件長期以來一直使用全屏覆蓋攻擊來仿冒網絡釣魚憑據。木馬使用模仿目標應用程序合法登錄屏幕的覆蓋圖來欺騙用戶,他們已註銷並需要重新輸入其憑據,或者需要通過各種驗證步驟,其中包括提供個人和財務信息。

為了發動此類攻擊,Ginp和其他惡意應用嘗試將自己註冊為設備上的可訪問性服務,並且此步驟需要用戶的批准。因此,對於用戶而言,請務必注意他們向其授予了訪問權限的應用程序。

Android Accessibility Service API旨在幫助視覺,聽覺和其他類型的殘疾用戶。除其他事項外,它還使具有此特權的應用程序可以觀察用戶在電話上的操作(例如,當他們打開其他應用程序時)並檢查這些應用程序的窗口。從攻擊者的角度來看,需要此權限來確定何時以及在哪個疊加層上進行注入,例如用戶何時打開特定的應用程序。

一旦獲得了“可訪問性”特權,Ginp就會濫用它來授予自己其他權限,而無需用戶進行交互,例如撥打電話和發送消息的能力。

特洛伊木馬程序的覆蓋在每個應用程序中分兩個步驟進行。首先,要求受害者為目標應用程序輸入其憑據,然後使用第二個覆蓋圖詢問支付卡詳細信息,據稱用於身份驗證。如果用戶輸入了所請求的信息,則該應用將被特洛伊木馬列入白名單,並且不會再次成為目標。

Google一直在試圖通過更清晰地標記註入的窗口以及通過調整和限制使其正常工作所需的權限來打擊覆蓋攻擊。但是,公司需要在安全性和可用性之間保持平衡。

例如,繪製疊加層所需的一項權限稱為SYSTEM_ALERT_WINDOW,它具有合法用途,例如Facebook Messenger使用的聊天氣泡。在2019年9月發布的Android Q(Android 10)中,此權限僅對側面加載的應用程序有效30秒,直到通過Google Play安裝的應用程序重新啟動系統。

Android開發人員計劃在未來的Android版本中完全棄用此功能。但是,由於生態系統的版本不完整,絕大部分設備將永遠不會更新為Android Q或更高版本,因此覆蓋攻擊很可能仍然是犯罪分子的流行攻擊。

不要側加載應用
如果Play商店在他們的國家/地區可用,則Android用戶應僅從Google Play安裝應用程序。許多Android木馬都是通過垃圾郵件和虛假的基於網絡的警報來分發的,並要求用戶側重加載它們-在禁用默認安全設置(阻止對不受信任來源的應用程序)後,手動安裝應用程序。

也就是說,Google Play也並非完全沒有惡意軟件,因為攻擊者偶爾會找到繞過Google掃描和驗證過程的方法。這就是為什麼在決定安裝應用程序評級,用戶評論以及他們進入商店多久之前也很重要的原因。還建議您為Android使用反惡意軟件產品,因為它們可以提供額外的保護,並可以檢測到Google Play遺漏的惡意軟件。

ThreatFabric研究人員說:“ Ginp的實際版本與大多數其他Android銀行木馬俱有相同的功能,例如使用覆蓋攻擊,SMS控制和聯繫列表收集。” “總體而言,它具有相當通用的功能列表,但預計在以後的更新中會擴展。由於來自Anubis Trojan的某些代碼已在Ginp中重用,因此很有可能還會添加新功能,例如反向連接代理,屏幕流和Remote Access Trojan。”