恶意安卓app被发现 银行木马Carberp再“发威”

反病毒软件厂商Kaspersky实验室研究人员近日在Google Play上发现，几个用来窃取移动交易认证码(mTAN)的恶意安卓app被银行通过短信服务(SMS)发给了用户。

Kaspersky高级恶意软件分析师Denis Maslennikov周五在博客中表示，这些app是由一个团伙所创建，它们使用了各种Carberp银行恶意软件，目标是几个俄罗斯的银行。

许多银行使用mTAN作为一种安全手段，以保护在线银行账户在交易中免遭网络罪犯攻击。当交易从在线银行账户发出时，银行会通过短信服务信息将唯一的mTAN代码发到账户拥有者的手机上。账户拥有者必须将该代码输入在线银行网站，以便获取交易许可。

为攻破这类防御，网络罪犯创建了恶意移动app，可自动隐藏与目标银行相关号码的短信服务信息，并悄悄将这些信息传回他们的服务器。当从一个受感染的计算机上访问银行网站时，受害者会被骗下载并安装这些app到手机上。

目前，SMS盗窃app已经与Zeus和SpyEye银行木马程序一起使用，以Zeus-in-the-Mobile (ZitMo)和SpyEye-in-the-Mobile (SpitMo)闻名。然而，Maslennikov表示，流氓移动组件被特别设计成Carberp恶意软件，这还是第一次发现。

与Zeus和pyEye不同，Carberp木马程序首先被用来攻击在线银行客户，这些用户来自俄罗斯及其他俄语国家，像乌克兰、白俄罗斯或哈萨克斯坦。

7月份反病毒厂商ESET的一份报告显示，俄罗斯当局逮捕了三个最大的Carberp幕后操纵者。然而，该恶意软件仍在继续被其他团伙使用，并且，依据不同版本和特征，它在地下市场以5000美元到4万美元的价格被出售。

ESET高级恶意软件专家Aleksandr Matrosov周五表示，这是他们第一次看到来自Carberp团伙的移动恶意软件。

Maslennikov说，在Google Play上发现的这种新的Carberp-in-the-Mobile (CitMo) app 乔装成正常的移动app，这些app来自俄罗斯最大的两个银行——Sberbank和Alfa-Bank，以及使用最广泛的社交网络Vkontakte。

网络罪犯上传这些app到Google Play上，让人对app市场反恶意软件防御的效果产生质疑，比如：谷歌今年早些时候公布的Bouncer反恶意软件浏览器。

反病毒厂商Bitdefender高级电子威胁专家Bogdan Botezatu认为，Google的Bouncer检测ZitMo, SpitMo 或CitMo并不容易，因为他们本身就只是针对一些合法app程序的。

他表示，SMS拦截及样本代码早有记载。如果同样的样本代码被用于恶意软件和合法app，那它就更被难检测和阻断了。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友