Bizarro银行木马

Bizarro银行木马说明

新型的先进Android银行木马正被欧洲和南美的用户所利用。该威胁名为Bizarro,属于巴西银行木马组织。比萨罗(Bizarro)不再像往常那样在本地进行操作,而是在全球范围内进行了发布,其重点是位于阿根廷,智利,德国,法国,意大利,西班牙和葡萄牙的用户。

威胁参与者的目标是从受感染的Android设备以及劫持比特币钱包中获取在线银行凭证。 Bizarro银行木马程序已将70多家银行作为攻击目标。它通过Microsoft Installer程序包进行传播,这些程序包通过垃圾邮件中的链接提供或由武器化的应用程序删除。

将Bizarro交付到用户的Android设备后,它将终止所有当前活动的浏览器进程。目标是停止与当前可能正在运行的银行网站的任何潜在会话。然后,受害者将被迫重新输入银行凭证,但是这次恶意软件将尝试收集信息。为了增加成功的机会,Bizarro采取了其他步骤来禁用自动完成功能,并生成伪造的弹出窗口来拦截任何两因素身份验证代码。银行木马还具有屏幕捕获功能。最具威胁性的方面是Bizarro与其他大多数银行特洛伊木马程序区分开的地方是其功能完备的后门模块。

强大的后门功能

Bizarro的后门模块可以识别并执行100多种不同的命令。不过,后门不会立即激活。等待直到检测到与硬编码字符串列表匹配的在线银行系统连接。之后才激活后门的核心组件。一般而言,威胁行为者将能够获取有关受害者系统的数据。搜索,窃听或下载文件到系统;控制鼠标或键盘等输入设备;显示网络钓鱼消息,例如伪造的弹出窗口。

Bizarro可以下载JPEG图像,其中包含某些银行徽标和受害人模仿选定的网上银行系统的说明。这些图像是从命令和控制(C2,C&C)服务器中获取的,并以加密形式存储在用户的个人资料目录中。该恶意软件还可以显示自定义消息。这样,Bizarro可以有效地冻结受感染的设备。在显示自定义消息时,用户将无法将其关闭,甚至无法打开任务管理器。同时,屏幕将变灰,任务栏将隐藏。

Bizarro的操作似乎相当复杂,威胁者使用各种附属机构和mu子来执行不同的动作。这些可能包括从翻译的简单帮助到洗钱计划,或促进对用户设备的初始攻击。