导语:近日,卡巴斯基实验室的安全研究人员发现了一个名为Faketoken的Android银行木马的新版本,它可以检测并记录受感染设备,并在诸如出租车预订程序上覆盖真实界面以窃取银行信息。

近日,卡巴斯基实验室的安全研究人员发现了一个名为Faketoken的Android银行木马的新版本,它可以检测并记录受感染设备,并在诸如出租车预订程序上覆盖真实界面以窃取银行信息。

TIM截图20170820233629.png

目前,这个被称为Faketoken.q的银行木马新版本,正在以批量短信的形式向大量用户进行分发,提示用户下载恶意软件的图像文件。

而一旦下载了,恶意软件将会安装必要的模块和主要的payload,隐藏其快捷方式图标,并开始监控受感染Android设备及呼叫到的应用程序上的所有内容。

当受害者设备上的某些电话号码进行呼叫或接收时,恶意软件开始记录这些对话,并将记录发送到攻击者的服务器。

此外,Faketoken.q还会检测到智能手机持有者此刻正在使用哪些应用程序,以及当检测到可以模拟的界面时,该木马会使用假的用户界面并立即覆盖应用程序。

恶意软件利用重叠界面的功能窃取信用卡详细信息

为了实现这一点,Trojan使用了合法应用程序(如Facebook Messenger,窗口管理器和其他应用程序)并使用标准的Android功能,这样可以在所有其他应用程序之上显示屏幕叠加。

假的用户界面会提示受害者输入支付卡数据,甚至包括银行的验证码,这样为攻击者以后发起欺诈性交易提供方便。

Faketoken.q能够覆盖大量手机银行应用程序以及其他应用程序,例如:

Android Pay

Google Play商店

支付交通票的应用程序

预订航班和酒店客房的应用程序

预订出租车的应用程序

由于欺诈者需要银行发送的SMS作为授权交易代码,因此恶意软件会窃取传入的SMS消息代码,并将其转发给攻击者以此来指挥控制(C&C)服务器进行攻击。

据研究人员介绍,Faketoken.q的设计目的主要是针对说俄语的用户,因为它在用户界面上是允许使用俄语。

防止这种Android银行木马的方法

防止自己成为这种Android银行木马的受害者,最简单的方法是避免通过电子邮件或第三方应用商店中提供的链接下载应用程序。

您还可以转到设置→安全性,并确保关闭“未知来源”选项,以阻止来自未知来源的应用程序安装。

最重要的是,在安装应用程序之前验证应用程序的权限,即使它是从官方Google Play下载的。 如果您发现有应用程序所提示的目的不单纯,那么只需不要安装它即可。

最后,安装那些来自那些声誉好的供应商所提供的防病毒应用程序是个不错的选择,因为它可以在病毒感染您的设备之前检测到并阻止此类恶意软件,并始终保持系统和应用程序的最新状态。

源链接

Hacking more

...