近日一款新Android恶意程序MysteryBot被曝出,其同时具备了金融木马、记录键盘与勒索软件等功能,而且其覆盖攻击手法已能攻陷Android 7与Android 8平台。
新型安卓恶意程序现身
覆盖攻击是指在Android终端上功能界面或应用程序界面上覆盖上一个恶意窗口,使用者无法察觉到,而误以为是与正常APP互动,以此来诱骗使用者给予授权。例如将安装Android安全更新的“Contiune”按键换成允许恶意程序获得设备管理权限的“Activate”按键。
分析显示,MysteryBot与金融木马程序Lokibot一脉相连,它们都可连接到同一个C&C服务器上。而Lokibot在今年2月移动恶意排行榜上位列第二名,仅次于后门程序Triada。
需注意的是,MysteryBot是改造过的升级版,因为它除了基本的金融木马功能之外,还允许攻击者拨打或转接电话到指定号码,盗取或删除手机通讯录信息,复制或删除手机短信、侧录键盘、加密外接存储设备数据等等,威胁较大。
而且MysteryBot的覆盖攻击模块威力更大,其可应用在较新的Android 7与Android 8平台上。
此外,研究人员还怀疑MysteryBot作者正在开发可恢复加密文件的能力,窃取电子邮件内容的能力,以及远程启用应用程序的能力。
所幸安全专家表示,覆盖攻击的关键在于时间点,其必须在特定应用程序开启时利用一个伪造的页面诱导使用者输入账号密码、信用卡信息或赋予攻击者设备权限。如果时间点不对,恶意程序就有被发现的可能。之前Android 7/8的安全管控较严格,攻击者往往不会得手,但MysteryBot的出现,则表明攻击者在此方面已获得了新突破。
值得庆幸的是,MysteryBot现在仍处于开发阶段,意味着它尚未大面积传播开来,让金融机构以及个人用户拥有更多的时间进行防范。