BrazKing Android 惡意軟件

BrazKing 是一種移動銀行惡意軟件，它執行覆蓋攻擊以收集受害者的銀行憑證。該威脅針對位於巴西的安卓設備和用戶主要是，可能表明其運營商也位於該地區。 IBM Trusteer 的研究人員在分析了幾個 BrazKing 樣本後發布了一份報告，其中包含他們的發現，從而闡明了這種威脅。到目前為止，專家們有信心 BrazKing 仍在開發中由於較新版本的威脅中引入了顯著差異，因此積極主動。

濫用 Android 的無障礙服務

輔助功能旨在讓殘障人士更舒適地使用移動設備。然而，網絡犯罪分子已經對它進行了磨練，並正在利用該服務對受感染的設備執行許多惡意操作。 BrazKing 依賴於輔助功能服務廣泛，因為這允許威脅限制用戶需要授予的特定權限的數量。因此，BrazKing 請求少量不太可疑的權限。

在後台，BrazKing 可以模擬屏幕點擊，建立鍵盤記錄程序，充當 RAT（遠程訪問木馬），通過捕獲顯示在屏幕上的消息文本來攔截和讀取 SMS，並通過以下方式訪問用戶的聯繫人列表默默地從“聯繫人”屏幕上閱讀它們。威脅還基於Accessibility服務的功能建立了持久化機制。如果用戶嘗試將受感染設備恢復到出廠設置，BrazKing 將立即模擬點擊“返回”和“主頁”按鈕。同樣的技術也用於防止用戶啟動反惡意軟件解決方案或嘗試運行設備掃描。

感染載體

受害者通過帶有惡作劇網站 URL 的網絡釣魚消息被誘騙安裝威脅。欺騙性網站使用恐嚇策略，例如聲稱用戶的設備安全性已過時並且將被阻止。為了解決這個不存在的問題，用戶被引導點擊提供的按鈕，該按鈕據稱將“更新”設備的操作系統。實際上，它將提供 BrazKing Android 惡意軟件。由於應用程序來自未知來源，因此用戶仍需要批准下載。之後，威脅將嘗試獲取所需的少量權限，將它們掩飾為 Google 的要求。

覆蓋攻擊

早期的 BrazKing 版本從硬編碼的 URL 中獲取目標銀行應用程序的虛假登錄屏幕。最近的版本已經從這種技術轉變為更加精簡、敏捷和難以捉摸。事實上，威脅現在會自動調用其命令和控制（C2、C&C）服務器，並即時請求必要的覆蓋屏幕。網絡犯罪分子現在可以確定受害者何時啟動合適的應用程序以及何時激活憑證獲取過程，而不是將其留給威脅本身的自動化功能。

BrazKing 攻擊的另一個特點是它們不需要用戶批准的“android.permission.SYSTEM_ALERT_WINDOW”權限。相反，惡意軟件將覆蓋屏幕的 URL 加載到 web 視圖並將其顯示在窗口中。

手機銀行惡意軟件在不斷發展，用戶應採取必要措施保護他們的設備，不要讓自己面臨不必要的風險。