MalRhino Android 銀行木馬

MalRhino Android 銀行木馬是 Check Point Research 發現的屬於未分類惡意軟件家族的第二個威脅。雖然攻擊者對他們的其他名為 PixStealer 的威脅創作採取了極簡主義的方法，但 MalRhino 更符合典型的 Android 銀行木馬。這並不意味著威脅沒有配備幾種新穎或罕見的技術。兩種威脅之間的聯繫是基於它們的清單、日誌消息、服務和方法名稱等的相似性。

MalRhino 分析

該威脅還會濫用 Android 無障礙服務來執行其有害操作。輔助功能服務的目的是讓殘障人士更容易控制設備。黑客注意到通過它提供的眾多功能並一直在他們的惡意軟件創作中利用該服務。例如，他們可以監控設備屏幕上發生的活動並攔截它們。此外，攻擊者可以模擬點擊和點擊，就好像用戶進行了點擊一樣。

然而，MalRhino 能夠動態處理輔助功能事件的方式非常有趣。該威脅通過 Mozilla 的 Rhino 框架使用 JavaScript。然後攻擊者可以掃描運行最頻繁的應用程序。如果它與目標應用程序之一匹配，黑客就可以利用他們的遠程訪問來執行特定代碼。 Check Point 研究人員上一次在惡意軟件威脅中觀察到這種技術是在 2016 年，作為 Xbot banker 惡意軟件的一部分。

MalRhino 的攻擊鏈

該威脅是通過巴西國際銀行的 iToken 應用程序的偽造版本進行部署的。被木馬化的應用程序的包名稱是"com.gnservice.beta"，這可能表明該威脅仍處於發展的早期階段。應該注意的是，該虛假應用程序可從官方 Google Play 商店下載。

一旦進入受害者的設備，MalRhino 將顯示一條消息，要求獲得無障礙權限。為了欺騙用戶，該應用程序假裝它需要權限才能正常運行。如果成功，木馬將能夠運行目標應用程序（主要是銀行應用程序、收集設備數據和已安裝的應用程序列表，並將獲取的信息發送到其命令和控制（C&C，C2）服務器。更具體地說，威脅功能涉及從 Nubank 應用程序檢索密碼。

MalRhino 威脅進一步表明，在為其設備上的應用程序授予權限時需要謹慎，即使應用程序是通過官方商店平台安裝的。