Bizarro銀行木馬

Bizarro銀行木馬說明

新型的先進Android銀行木馬正被歐洲和南美的用戶所利用。該威脅名為Bizarro,屬於巴西銀行木馬組織。比薩羅(Bizarro)不再像往常那樣在本地進行操作,而是在全球範圍內進行了發布,其重點是位於阿根廷,智利,德國,法國,意大利,西班牙和葡萄牙的用戶。

威脅參與者的目標是從受感染的Android設備以及劫持比特幣錢包中獲取在線銀行憑證。 Bizarro銀行木馬程序已將70多家銀行作為攻擊目標。它通過Microsoft Installer程序包進行傳播,這些程序包通過垃圾郵件中的鏈接提供或由武器化的應用程序刪除。

將Bizarro交付到用戶的Android設備後,它將終止所有當前活動的瀏覽器進程。目標是停止與當前可能正在運行的銀行網站的任何潛在會話。然後,受害者將被迫重新輸入銀行憑證,但是這次惡意軟件將嘗試收集信息。為了增加成功的機會,Bizarro採取了其他步驟來禁用自動完成功能,並生成偽造的彈出窗口來攔截任何兩因素身份驗證代碼。銀行木馬還具有屏幕捕獲功能。最具威脅性的方面是Bizarro與其他大多數銀行特洛伊木馬區分開來的地方是其成熟的後門模塊。

強大的後門功能

Bizarro的後門模塊可以識別並執行100多種不同的命令。不過,後門不會立即激活。等待直到檢測到與硬編碼字符串列表匹配的在線銀行系統連接。之後才激活後門的核心組件。一般而言,威脅行為者將能夠獲取有關受害者係統的數據。搜索,竊聽或下載文件到系統;控制鼠標或鍵盤等輸入設備;顯示網絡釣魚消息,例如偽造的彈出窗口。

Bizarro可以下載JPEG圖像,其中包含某些銀行徽標和受害人模仿選定的網上銀行系統的說明。圖像是從命令和控制(C2,C&C)服務器中獲取的,並以加密形式存儲在用戶的個人資料目錄中。該惡意軟件還可以顯示自定義消息。這樣,Bizarro可以有效地凍結受感染的設備。在顯示自定義消息時,用戶將無法將其關閉,甚至無法打開任務管理器。同時,屏幕將變灰,任務欄將隱藏。

Bizarro的操作似乎相當複雜,威脅者使用各種附屬機構和mu子來執行不同的動作。這些可能包括從翻譯的簡單幫助到洗錢計劃,或促進對用戶設備的初始攻擊。