▌作者:Catalin Cimpanu
▌翻译:360代码卫士团队
安全研究员发现一款名为 “Red Alert 2.0” 的新型安卓银行木马,它是前几个月前开发的,最近已进入分发阶段。
SfyLabs的安全研究人员首先在今年春天的一个俄语黑客论坛上发现这款木马的广告。前几周,研究人员发现了受RedAlert感染的首批app,并已追踪到管理该木马的C&C服务器。
Red Alert还未在应用商店发布
传播RedAlert的所有app都托管在第三方安卓app应用商店中。SfyLabs表示在目前尚未发现Red Alert app进入谷歌应用商店。虽然Red Alert是移动银行木马中的新面孔,但它的运作方式跟之前木马类似。它会一直隐藏并等待用户打开一款银行app或社交媒体app。一旦这个条件满足,那么木马就会在原始app顶部显示一个基于HTML的覆盖层,警告用户出错并要求重新验证。随后,RedAlert就会收集用户凭证并将该信息发送给C&C服务器。
掌控RedAlert控制面板的人就会拿走这些凭证并访问受害者的银行账户从事欺诈性交易,或者访问受害者的社交媒体app粘贴垃圾消息或对其它内容进行虚假点赞。
Red Alert包含的功能可从受感染设备中收集通讯录列表。另外,还能绕过双因素验证并印制通知,它还能控制受感染手机的SMS功能。
从RedAlert的论坛广告更改日志来看,它最近的一项功能是能够自动拦截跟银行和金融机构相关联的来电。
500美元可租赁
SfyLabs的首席执行官兼创始人Cengiz Han Sahin表示,Red Alert作者正在以500美元的价格租赁这款木马。Sahin指出,几乎每隔两天就会出现新的HTML覆盖层。另外,Red Alert的作者还正在开发SOCKS和VNC模块,为受感染设备增加远程控制功能,为RedAlert增强类似RAT的功能。
Sahin指出,Red Alert之所以引起研究人员的注意是因为它是近几年来为数不多的从零开始编写的银行木马。最近出现的几乎所有安卓银行木马如Exobot、BankBot或AgressiveX AndroBot都是基于之前已存在于恶意软件市场上的恶意软件。
针对所有6.0及之前的安卓版本
Sahin指出,Red Alert能够针对运行安卓6.0及以前版本的智能手机。专家指出,Red Alert能够为60多款银行和社交媒体app显示HTML覆盖层。这款木马似乎并非针对某个具体国家的用户,不过采用了一种突击销售法,为多数著名的银行和金融机构提供覆盖层。
由于RedAlert的作者旨在吸引尽可能多的潜在买家,因此这种随机针对的方法对于它的租赁系统而言是很有可能成立的。
用户可通过不使用第三方应用商店并坚持使用谷歌应用商店的做法避免遭受安卓恶意软件的感染。
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
