Threat Database Banking Trojan BrazKing Android 恶意软件

BrazKing Android 恶意软件

BrazKing 是一种移动银行恶意软件,它执行覆盖攻击以收集受害者的银行凭证。该威胁针对位于巴西的安卓设备和用户主要是,可能表明其运营商也位于该地区。 IBM Trusteer 的研究人员在分析了几个 BrazKing 样本后发布了一份报告,其中包含他们的发现,从而阐明了这种威胁。到目前为止,专家们有信心 BrazKing 仍在开发中由于较新版本的威胁中引入了显着差异,因此积极主动。

滥用 Android 的无障碍服务

辅助功能旨在让残障人士更舒适地使用移动设备。然而,网络犯罪分子已经对它进行了磨练,并正在利用该服务对受感染的设备执行许多恶意操作。 BrazKing 依赖于辅助功能服务广泛,因为这允许威胁限制用户需要授予的特定权限的数量。因此,BrazKing 请求少量不太可疑的权限。

在后台,BrazKing 可以模拟屏幕点击,建立键盘记录程序,充当 RAT(远程访问木马),通过捕获屏幕上显示的消息文本来拦截和读取 SMS,并访问用户的联系人列表默默地从“联系人”屏幕上阅读它们。威胁还基于Accessibility服务的功能建立了持久化机制。如果用户尝试将受感染设备恢复到出厂设置,BrazKing 将立即模拟点击“返回”和“主页”按钮。同样的技术也用于防止用户启动反恶意软件解决方案或尝试运行设备扫描。

感染载体

受害者通过带有恶作剧网站 URL 的网络钓鱼消息被诱骗安装威胁。欺骗性网站使用恐吓策略,例如声称用户的设备安全性已过时并且将被阻止。为了解决这个不存在的问题,用户被引导点击提供的按钮,该按钮据称将“更新”设备的操作系统。实际上,它将提供 BrazKing Android 恶意软件。由于应用程序来自未知来源,因此用户仍需要批准下载。之后,威胁将尝试获取所需的少量权限,将它们掩饰为 Google 的要求。

覆盖攻击

早期的 BrazKing 版本从硬编码的 URL 中获取目标银行应用程序的虚假登录屏幕。最近的版本已经从这种技术转变为更加精简、敏捷和难以捉摸。事实上,威胁现在会自动调用其命令和控制(C2、C&C)服务器,并即时请求必要的覆盖屏幕。网络犯罪分子现在可以确定受害者何时启动合适的应用程序以及何时激活凭证获取过程,而不是将其留给威胁本身的自动化功能。

BrazKing 攻击的另一个特点是它们不需要用户批准的“android.permission.SYSTEM_ALERT_WINDOW”权限。相反,恶意软件将覆盖屏幕的 URL 加载到 web 视图并将其显示在窗口中。

手机银行恶意软件在不断发展,用户应采取必要措施保护他们的设备,不要让自己面临不必要的风险。

趋势

最受关注

正在加载...