聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
数一数二的安卓银行木马 Exobot 的源代码遭泄露,并在恶意软件圈子得到迅速传播,而研究人员担心新一波恶意软件活动正在酝酿。
Exobot 是一款强大的安卓木马,首次于2016年末出现在大众视野,而在今年1月份被出售遭到作者神秘抛弃。在日常行动中,恶意软件作者会以 MaaS(恶意软件即服务)或 CaaS(网络犯罪即服务)的方式出售恶意软件的月访问或周访问权限。但当恶意软件作者出售整个源代码时,通常意味着作者准备洗手不干了。一般来说,购买恶意软件的人数足够多时,源代码就会遭泄露。
5月份就已遭泄露
之前所有的恶意软件类型基本都遵循这个模式,Exobot 也不例外。上个月,笔者就曾从一个未具名人员手中收到了这个源代码的副本。 ESET 和 ThreatFabric 公司的安全研究人员认为这些源代码是真实的。
该源代码是 Exobot 的2.5版本“特朗普版本 (Trump Edition)”,它是作者放弃开发之前的最后一个版本。ThreatFabric 公司的研究员表示,Exobot 木马的源代码实际上在5月份就已被泄露到网上:当时一名买家决定在圈子内分享该源代码。自此,笔者发现 Exobot 的源代码现在正在多个地下黑客论坛上传播。
安全研究员担心恶意活动增多
安全研究员现在担心源代码遭泄露可能导致越来越多的安卓应用会遭该木马感染。其实这种事情之前早有发生。
2016年12月,BankBot 安卓银行木马的源代码遭泄露,导致2017年出现了旨在推送该木马的大量恶意软件活动。BankBot 代码的可获得性降低了准恶意软件作者进入安卓恶意软件市场的准入门槛以及金融成本。如今 Exobot 以同样的方式遭泄露,因此研究人员担心同样的事情再次发生。
Exobot 功能强大
ThreatFabric 公司的安全研究员兼发言人 Cengiz Han Sahin 指出,Exobot 是一款非常强大的银行木马,它甚至能感染运行安卓最新版本的智能手机,而这是极少数木马能做到的事情。
Sahin 表示,“所有的威胁人员一直都在集中精力针对安卓7、8甚至是9 发动定时注入攻击(overlay attack,覆盖攻击)。”然而,Exobot 的能力不止如此。它在无需任何其它权限的情况下获得前端 app 的数据包名称。其它安卓银行木马家族需要使用 Accessibility 下的 Use Stats 权限才能实现同样的目的,因此需要和受害者之间进行用户交互。
Exobot 的源代码不仅可免费获取,效果还非常强大,就像2016年源代码遭泄露的数一数二的 BankBot 一样。未来几个月,我们可能会看到安卓恶意软件运维人员将从 BankBot 转向 Exobot,毕竟谁会拒绝“免费升级”到更好代码这件美差呢?
关联阅读
原文链接
https://www.bleepingcomputer.com/news/security/source-code-for-exobot-android-banking-trojan-leaked-online/
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。