新的特洛伊波浪攻擊針對加密貨幣錢包和銀行應用程序

網路安全研究人員已發現四個活躍的Android惡意軟體家族，針對超過800個應用程式，包括加密貨幣錢包和銀行應用程式。這些惡意軟體使用的方法大多數傳統安全工具無法偵測。

Zimperium的zLabs團隊發布了追蹤名為RecruitRat、SaferRat、Astrinox和Massiv的木馬病毒的結果。

根據該公司的研究，每個家族都有自己的指揮控制網絡，用於竊取登入資訊、接管金融交易，以及從感染的設備獲取用戶資料。

加密貨幣和銀行應用面臨多種惡意軟體的新威脅

這些惡意軟體家族對於在Android上管理加密貨幣的任何人都是直接威脅。

一旦安裝，木馬可以在真實的加密貨幣和銀行應用上方放置假登入畫面，實時竊取密碼和其他私人資訊。然後，惡意軟體會在真實應用界面上覆蓋一個假HTML頁面，形成公司所稱的“高度逼真、具有欺騙性的外觀”。

“利用輔助功能服務監控前景，惡意軟體能偵測到受害者啟動金融應用的確切時刻，”來自Zimperium的安全研究人員寫道。

根據報告，這些木馬不僅能竊取憑證，還能捕捉一次性密碼、將設備螢幕串流給攻擊者、隱藏自己的應用圖示，以及阻止用戶卸載它們。

每個攻擊活動都使用不同的誘餌來誘使人們上當。

SaferRat透過假冒提供免費高級串流服務的網站來傳播自己。RecruitRat則將其有效載荷藏在求職申請流程中，將目標引導至釣魚網站，要求下載惡意APK檔案。

Astrinox則採用相同的招聘策略，使用域名xhire[.]cc。根據訪問該網站的設備不同，顯示不同內容。

Android用戶被要求下載APK，而iOS用戶則看到類似Apple App Store的頁面。然而，安全研究人員未找到iOS實際被入侵的證據。

在研究期間，尚無法確認Massiv的傳播方式。

這四個木馬都利用釣魚基礎設施、簡訊詐騙和社會工程，利用人們的快速行動需求或好奇心，誘使他們安裝有害的應用程式。

加密貨幣惡意軟體躲避偵測

這些攻擊活動旨在繞過安全工具。

研究人員發現，這些惡意軟體家族採用先進的反分析技術和結構篡改Android應用程式包（APKs），以保持公司所稱的“對傳統簽名基安全機制幾乎零偵測率”。

網路通訊也與正常流量混合。木馬使用HTTPS和WebSocket連線與指揮伺服器通信。有些版本在這些連線之上加入額外的加密層。

另一個重要因素是持久性。現代Android銀行木馬不再使用簡單的一階感染，而是採用多階段安裝流程，旨在繞過Android不斷變化的權限模型，該模型使應用程式在未獲得用戶明確許可的情況下執行變得更加困難。

該報告未能確認在超過800個目標應用中，具體的加密貨幣錢包或交易所。但由於疊加攻擊、密碼攔截和螢幕串流，任何在Android上的加密貨幣應用都可能面臨風險，尤其是當用戶從Google Play商店外安裝惡意APK時。

從簡訊、招聘廣告或推廣網站中的連結下載應用程式，仍然是手機惡意軟體入侵的保證途徑之一。

在Android設備上管理加密貨幣的人士，應該只使用官方應用商店，並對要求下載的彈出訊息保持警覺。

最聰明的加密貨幣專家已經閱讀了我們的電子報。想加入他們嗎？