Hydra 安卓木马
Hydra Android 木马在主动攻击活动中使用已有一段时间了,因为该威胁的第一个样本是在 2019 年发现的。从那时起,该威胁经历了多个版本,其威胁能力也多次扩大。 Hydra Android 木马的主要目标保持不变——收集受害者的银行或金融服务凭据。
MalwareHunterTeam 和 Cyble 的网络安全研究人员发现了部署 Hydra Android 木马的最新活动。威胁性操作针对的是欧洲电子银行平台,更具体地说是德国第二大银行德国商业银行的客户。
有害函数
该威胁是通过一个传播特洛伊木马化德国商业银行应用程序的诱饵网站传播的。一旦部署在受害者的设备上,Hydra Android 特洛伊木马就会要求获得几个关键权限。首先,它想要访问 Android 的辅助功能服务。这是一项合法的后台服务,旨在帮助残障人士以更舒适的方式操作他们的 Android 设备。然而,威胁滥用服务来监控和拦截设备屏幕上发生的所有活动。这样做可以让他们看到受害者在其他应用程序中输入的凭据。
威胁要求的第二个权限是 BIND_DEVICE_ADMIN。它授予 Hydra 管理员权限并允许它执行许多侵入性活动,例如锁定设备、修改屏幕锁定 PIN 等。恶意软件可以执行其他操作,包括访问或发送短信、拨打电话、向受害者的联系人列表发送消息等。
最新的 Hydra Android 木马版本也配备了 TeamViewer 功能,与S.O.V.A. Android 银行木马类似。此外,它还通过使用多种加密技术和 TOR 进行通信来提高检测规避性。
