2017年5月，俄罗斯当局逮捕了使用银行木马“CronBot”窃取超过90万美元的网络犯罪团伙的20名成员。该组织将木马隐藏在伪造的应用中，其中一些应用伪装成真实的在线银行应用，一些伪装成成人应用。超过100万的用户安装了这些安卓恶意应用。

最近发现一种新的安卓恶意软件——Catelites Bot，Catelites Bot与CronBot有很多相同的之处。但目前还没有证据能够证明Catelites和Cron的关系。在过去的几个月里，每周都会1~2个恶意应用攻击安卓设备，诱使受害者下载恶意软件。一旦下载安装，犯罪分子会使用社会工程学技巧获取信用卡信息，同时可能可以进入用户的银行帐号。

安装

关于恶意软件的细节目前还在调查中，目前已知的信息是：恶意软件下载安装到安卓设备上后，会出现下图所示的图标，名称为“system application”（系统应用）。

欺骗

当用户点击应用图标，恶意应用会请求管理权限。如果用户授予权限，恶意软件就开始工作了。之前的System Application图标就没有了，但是会出现3个很熟悉的看起来可信的图标出现在主屏上，分别是Gmail，Google Play和Chrome。

新出现的Gmail, Google Play和Chrome图标

恶意软件作者用两种社会工程技术促使用户打开这三个伪造的应用，这些应用打开后会邀请用户输入信用卡信息这样的敏感信息。这两种社会工程学技术是：

· 创建著名应用的镜像图标：Gmail, Google Play , Chrome

· 创建一个不能移除的通知，通知链接到假的登录界面

把应用图标放在主屏，用户打开的可能性更大，之后可能会激活，然后犯罪分子就可以窃取用户的敏感信息了。

打开Google Play Store通知后，应用会要你输入信用卡号

可伪装成2200家金融机构应用

恶意应用会想办法获取用户的银行账户登录信息。恶意软件可以伪装成超过2200家银行和金融机构。主要是通过把恶意应用的图标和名字改的和Google应用商店里的应用名和图标一样。通过这种简单的方法就可以获取用户的用户名、密码或信用卡信息。而这是基于HTML技术的，并没有其他的安卓银行恶意软件LokiBot, Red Alert, Exobot复杂，但是效力却是不减。

上面是假的覆盖页面，显示的logo却是真实银行的

当用户打开恶意银行应用，恶意软件就会激活并在你的真实银行应用上进行覆盖，诱使用户输入银行的登录证书和信用卡信息。一旦用户提供这些信息，攻击者就可以登录用户的帐号和信用卡了。

如果你的银行是附件中2200家金融机构之一，应用会使用真实银行的logo来让应用看起来更真实

恶意软件中还有其他的功能，目前还没有被激活。这些功能包括拦截所有的收发SMS短信，设置手机为静音，从其他应用处获取所有的运行任务信息。还可以请求永久的管理权限来擦出设备数据甚至将用户也锁在系统之外。

TIPS：如何保护

1. 特别注意应用请求管理权限

2. 当打开银行应用后，觉得哪里有问题，马上关闭

3. 如果觉得手机中可能有恶意软件，那么以安全模式重启手机

4. 从Google Play这样的官方应用商店下载应用

5. 安装安全软件

技术信息

· 拦截所有的收发SMS消息

· 提取运行的任务、电话号码、IMSI、设备型号、安卓版本、安装的应用

· 设置为静音，这样用户就听不到短信通知的声音了

· 把应用图标隐藏在启动器内

· 请求设备管理权限来完成擦出数据、锁定设备、强制修改设备解锁密码

· 从通讯录查询电话号码

· 获取SMS和MMS消息会话

设置手机为静音

管理权限

应用会向用户请求设备管理权限来获取擦除数据、锁定设备、重设设备解锁密码等功能的权限：

从通讯录查电话号码

加密文件

木马有用AES对文件加密的代码，加密后的文件会被重命名，而且文件扩展名会变成.cat。

IOCs

附件1. 2200个伪造的银行应用的名称