安全研究人员发现并分析了一种新的Android恶意软件,它具有多种功能,可以窃取226个应用程序的凭据。
名为Alien,这一新特洛伊木马自今年年初以来一直活跃,并作为恶意软件即服务(MaaS)产品提供在地下黑客论坛上。
在a本周与ZDNet共享的报告,来自ThreatFabric的安全研究人员深入论坛帖子和外星人样本,以了解恶意软件的演变、技巧和功能。
据研究人员称,Alien并非真正的新代码,而是基于一个名为Cerberus的恶意软件团伙的源代码。
Cerberus,而一个活跃的MaaS去年,今年失败了,它的所有者试图出售它的代码库和customerbase,最终免费泄露
ThreatFabric说,Cerberus的消亡是因为谷歌的安全团队找到了一种检测和清理受感染设备的方法。但即使外星人是基于一个旧的赛伯勒斯版本,外星人似乎也没有这个问题,它的MAA介入填补了塞伯勒斯灭亡后留下的空白。
研究人员说,外星人甚至比Cerberus更先进,Cerberus本身就是一个著名的危险的特洛伊木马。
ThreatFabric说,外星人是新一代的一部分Android银行木马也集成了远程访问功能到其代码库中。
这使得Alien成为一种危险的混合物,很容易被感染。Alien不仅可以显示假登录屏幕和收集各种应用程序和服务的密码,还可以授予黑客访问设备的权限,以使用上述凭据,甚至执行其他操作。
目前,根据ThreatFabric的说法,Alien拥有以下功能:
这些虚假登录页面的大部分目的是截取电子银行应用程序的凭证,这显然支持其关于Alien意图进行欺诈的评估。
然而,Alien也瞄准了其他应用程序,如电子邮件、社交、即时消息和加密货币应用程序(即Gmail、Facebook、Telegram、Twitter、Snapchat、WhatsApp等)。
大多数针对外国开发者的银行应用程序都是针对西班牙、土耳其、德国、美国、意大利、法国、波兰、澳大利亚的金融机构英国。
ThreatFabric没有包括外星人如何进入用户的详细信息”设备,主要是因为这取决于外星MaaS客户(其他犯罪集团)选择的分发方式。
然而,从历史上看,安卓恶意软件通常隐藏在通过第三方非官方应用商店分发的应用程序中,或通过第三方网站上的应用程序进行伪装,通过不正当的广告向用户兜售。
一些受恶意软件污染的应用偶尔会出现在Play Store上,但大多数时候,它们是通过其他渠道分发的。
这些可疑的应用程序很容易被发现,因为它们通常要求用户授予它们对管理员用户或辅助功能服务的访问权限。
不言而喻的一个建议是“不要从可疑网站安装应用程序并授予它们管理权限”“听起来可能是这样的,并不是所有的Android用户都具备足够的技术来理解它,许多用户会从任何位置下载并安装应用程序,然后在安装过程中点击所有的提示。
这就是恶意软件的一般运作方式,针对的是非技术用户,而不是“专家”。而且周围有许多这样的非技术用户,因此,为什么Android恶意软件如今在黑客论坛上大行其道。
所以……不要从阴暗的网站安装应用程序并授予它们管理权限
