MalRhino Android 银行木马

MalRhino Android 银行木马是 Check Point Research 发现的属于未分类恶意软件家族的第二个威胁。虽然威胁行为者对其其他名为 PixStealer 的威胁创作采取了极简主义的方法，但 MalRhino 更符合典型的 Android 银行木马。这并不意味着威胁没有配备几种新颖或罕见的技术。两种威胁之间的联系是基于它们的清单、日志消息、服务和方法名称等的相似性。

MalRhino 分析

该威胁还会滥用 Android 无障碍服务来执行其有害操作。辅助功能服务的目的是让残障人士更容易控制设备。黑客注意到通过它提供的众多功能并一直在他们的恶意软件创作中利用该服务。例如，他们可以监控设备屏幕上发生的活动并拦截它们。此外，攻击者可以模拟点击和点击，就好像用户进行了点击一样。

然而，MalRhino 能够动态处理辅助功能事件的方式非常有趣。该威胁通过 Mozilla 的 Rhino 框架使用 JavaScript。然后攻击者可以扫描运行最频繁的应用程序。如果它与目标应用程序之一匹配，黑客就可以利用他们的远程访问来执行特定代码。 Check Point 研究人员上一次在恶意软件威胁中观察到这种技术是在 2016 年，作为 Xbot banker 恶意软件的一部分。

MalRhino 的攻击链

该威胁是通过巴西国际银行的 iToken 应用程序的伪造版本进行部署的。被木马化的应用程序的包名称是"com.gnservice.beta"，这可能表明该威胁仍处于发展的早期阶段。应该注意的是，该虚假应用程序可从官方 Google Play 商店下载。

一旦进入受害者的设备，MalRhino 将显示一条消息，要求获得无障碍权限。为了欺骗用户，该应用程序假装它需要权限才能正常运行。如果成功，木马将能够运行目标应用程序（主要是银行应用程序、收集设备数据和已安装的应用程序列表，并将获取的信息发送到其命令和控制（C&C，C2）服务器。更具体地说，威胁功能涉及从 Nubank 应用程序检索密码。

MalRhino 威胁进一步表明，在为其设备上的应用程序授予权限时需要谨慎，即使应用程序是通过官方商店平台安装的。