Bizarro銀行木馬

新型的先進Android銀行木馬正被歐洲和南美的用戶所利用。該威脅名為Bizarro，屬於巴西銀行木馬組織。比薩羅（Bizarro）不再像往常那樣在本地進行操作，而是在全球範圍內進行了發布，其重點是位於阿根廷，智利，德國，法國，意大利，西班牙和葡萄牙的用戶。

威脅參與者的目標是從受感染的Android設備以及劫持比特幣錢包中獲取在線銀行憑證。 Bizarro銀行木馬程序已將70多家銀行作為攻擊目標。它通過Microsoft Installer程序包進行傳播，這些程序包通過垃圾郵件中的鏈接提供或由武器化的應用程序刪除。

將Bizarro交付到用戶的Android設備後，它將終止所有當前活動的瀏覽器進程。目標是停止與當前可能正在運行的銀行網站的任何潛在會話。然後，受害者將被迫重新輸入銀行憑證，但是這次惡意軟件將嘗試收集信息。為了增加成功的機會，Bizarro採取了其他步驟來禁用自動完成功能，並生成偽造的彈出窗口來攔截任何兩因素身份驗證代碼。銀行木馬還具有屏幕捕獲功能。最具威脅性的方面是Bizarro與其他大多數銀行特洛伊木馬區分開來的地方是其成熟的後門模塊。

強大的後門功能

Bizarro的後門模塊可以識別並執行100多種不同的命令。不過，後門不會立即激活。等待直到檢測到與硬編碼字符串列表匹配的在線銀行系統連接。之後才激活後門的核心組件。一般而言，威脅行為者將能夠獲取有關受害者係統的數據。搜索，竊聽或下載文件到系統；控制鼠標或鍵盤等輸入設備；顯示網絡釣魚消息，例如偽造的彈出窗口。

Bizarro可以下載JPEG圖像，其中包含某些銀行徽標和受害人模仿選定的網上銀行系統的說明。圖像是從命令和控制（C2，C＆C）服務器中獲取的，並以加密形式存儲在用戶的個人資料目錄中。該惡意軟件還可以顯示自定義消息。這樣，Bizarro可以有效地凍結受感染的設備。在顯示自定義消息時，用戶將無法將其關閉，甚至無法打開任務管理器。同時，屏幕將變灰，任務欄將隱藏。

Bizarro的操作似乎相當複雜，威脅者使用各種附屬機構和mu子來執行不同的動作。這些可能包括從翻譯的簡單幫助到洗錢計劃，或促進對用戶設備的初始攻擊。