快速清洁 APP 要慎用，银行木马可能藏身其中

一个新的安卓银行木马通过官方的 Google Play Store 分发，安装量超过50,000次，其目的是针对56家欧洲银行，从受损的设备中获取敏感信息。

这款恶意软件被荷兰安全公司ThreatFabric命名为 Xenomorph，据说它与另一个名为 Alien 的银行木马有很多相同部分，同时在功能方面也与其前身“截然不同”。

公司的创始人兼首席执行官 Han Sahin 说: “尽管目前还在进行中，Xenomorph 已经开始在官方应用程序商店中进行有效的覆盖和积极的分发。”“此外，它具有一个非常详细和模块化的引擎，可以随意使用无障碍服务，这在未来可以提供非常先进的能力，如 ATS。”

Alien，一个远程访问木马(RAT)，具备通知嗅探和基于认证的2FA盗窃功能，在2020年8月臭名昭著的Cerberus恶意软件消失不久后就出现了。从那时起，发现了其他的Cerberus分支，包括2021年9月的 ERMAC。

跟 Alien 和 ERMAC 一样，Xenomorph 也是一个 Android 银行木马的例子。这种木马通过伪装成“快速清洁”(Fast Cleaner)等生产力应用程序，欺骗不知情的受害者安装恶意软件，从而绕过谷歌 Play Store 的安全保护。

值得注意的是，去年11月，一款名为GymDrop 的健身训练滴管应用程序被发现装载了Alien木马病毒，并将其伪装成“一套新的健身锻炼”。该应用程序有1万多次安装量。

手机应用市场情报公司 Sensor Tower 的数据显示，“Fast Cleaner”在葡萄牙和西班牙最受欢迎，其软件包名为“ vizeeva.Fast.Cleaner”，目前仍可在应用商店购买。2022年1月底，“Fast Cleaner”首次出现在 Play Store 上。

此外，用户对该应用程序的评论还警告说，“该应用程序含有恶意软件”，并且“要求持续确认更新”另一位用户说: “它在设备上安装了恶意软件，除此之外，它还有一个自我保护系统，所以你不能卸载它。”

Xenomorph 还使用了一种经典的策略，即引导受害者授予其无障碍服务特权，并滥用权限进行覆盖攻击，其中，恶意软件在来自西班牙、葡萄牙、意大利和比利时的目标应用上注入流氓登录屏幕，以窃取凭证和其他个人信息。

此外，它还配备了通知拦截功能，可以提取通过 SMS 接收的双因素身份验证令牌，并获取已安装的应用程序列表，其结果将被提取到远程命令控制服务器。

研究人员表示: “ Xenomorph 的出现再次表明，黑客正将注意力集中在官方市场的应用上。”“现代银行恶意软件的发展速度非常快，犯罪分子开始采用更精细的开发实践来支持未来的更新。”

转载请注明来自网盾网络安全培训，本文标题：《快速清洁 APP 要慎用，银行木马可能藏身其中》

标签：银行木马