银行木马BankBot新变种 伪装成合法应用Adobe Flash Player进行传
扫一扫
分享文章到微信
扫一扫
关注99科技网微信公众号
原标题:银行木马BankBot新变种来袭 通过伪装成合法应用Adobe Flash Player进行传播
根据网络安全公司PhishLabs的说法,他们在本月5日发现了银行木马BankBot的一个新变种,正通过伪装成合法应用Adobe Flash Player、Avito和HD Video Player进行传播。
PhishLabs表示,被命名为“Anubis”的新变种将移动威胁提升到了一个新的层次。它将原本分属于众多不同类型恶意软件的功能集合在了一身,这包括勒索软件(Ransomware)功能、键盘记录(keylogger)功能、远程访问特木马(RAT)功能、短信拦截功能、呼叫转移和锁定屏幕功能。
在Anubis之前,LokiBot是第一个整合了勒索软件功能的Android银行木马。而现在,Anubis 的出现意味着BankBot背后的开发人员正在进一步提高其代码质量。
Anubis的配置存储在名为“set.xml”的文件中,有几个条目与新的勒索软件功能相关。比如'htmllocker',它会在恶意应用安装成功后提供实现锁定屏幕功能的HTML代码。
这种功能很容易让我们联想到其他锁定屏幕的勒索软件,但它们只是简单地禁止受害者访问手机界面,而Anubis则是真正的实现了勒索软件功能。它的加密模块会使用256位对称密钥加密文件,并为被加密的文件附加扩展名. AnubisCrypt。
除了上述的勒索软件功能外,Anubis还实现了远程访问特木马(RAT)功能。通过RAT服务提供的命令包括开放目录、下载文件、删除文件和文件夹、启动和停止VNC以及停止和开始录音。该功能允许攻击者直接操纵文件系统并监控受害者的活动。
另外,Anubis也实现了键盘记录功能,包括日志文件的名称。记录声音和记录击键的能力使得Anubis既强大又极具侵略性。
尽管Anubis整合了众多新功能,但由于它是基于BankBot源代码开发的,因此它仍然是一个银行木马。如同大多数Android银行木马一样,Anubis会监视目标应用程序的启动,然后使用对应的钓鱼屏幕覆盖合法应用程序以窃取受害者的凭证。最后,它同样会使用其短信拦截功能来拦截银行发送的任何后续安全代码。
PhishLabs表示,他们在全球范围内共发现了275个不同的应用携带有Anubis,其中包括了29个涉及与加密货币相关的应用。根据样本命令和控制(C&C)服务器的域名显示,它们大多数都是从日本、摩尔多瓦和法国注册的,基础设施则托管在位于乌克兰、德国和荷兰的服务器上。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
, groupId: 6533345059272655374, itemId: 6533345059272655374, type: 1, subInfo: { isOriginal: false, source: 黑客视界, time: 2018-03-16 09:15:35 }, tagInfo: { tags: [{"name":"网络安全"},{"name":"软件"},{"name":"黑客"},{"name":"Flash"},{"name":"法国"}], groupId: 6533345059272655374, itemId: 6533345059272655374, repin: 0, }, has_extern_link: 0 }, commentInfo: { groupId: 6533345059272655374, itemId: 6533345059272655374, comments_count: 0, ban_comment: 0 }, mediaInfo: { uid: 76207630046, name: 黑客视界, avatar: //p3.pstatp.com/large/46e80003c98b9bfd77be, openUrl: /c/user/76207630046/, follow: false }, pgcInfo: {"media_info":{"open_url":"/c/user/76207630046/","avatar_url":"https://p3.pstatp.com/large/46e80003c98b9bfd77be","media_id":1584317604543502,"name
投稿邮箱:jiujiukejiwang@163.com 详情访问99科技网:http://www.fun99.cn