我们发现了新的 Android 威胁,使用灵活的社交引擎技术大范围窃取用户银行凭证。Android.Fakelogin 并非将自己伪装成特定应用,而是确定设备上运行的银行应用,然后在用户界面上叠加定制的欺诈登录页面。它通过访问托管在远程命令和控制 (C&C) 服务器上的基于云服务的逻辑来确定要显示的仿冒页面。虽然该恶意软件针对 Google Play 上提供的合法应用,Google Play 上并没有下载 Fakelogin 的应用。
该恶意软件还是使用隐秘技术和混淆技术,使得自身难以被发现和逆向工程。所有这些特点使得 Android.Fakelogin 成为移动设备上的重大威胁。
Android.Fakelogin 如何工作?
Android.Fakelogin 当前针对俄语使用者,但不会影响最新的 Android 更新 Marshmallow。该木马程序通过影响 Android 设备的下载程序恶意软件作为攻击负载出现。此恶意软件以虚假应用程序的形式出现(在本例中为游戏),尝试在被侵害设备上下载和安装其他恶意软件。安装之后,该恶意软件伪装成默认 SMS 应用的替代,并尝试将自己注册作为设备管理员。该威胁还隐藏其图标以防止用户轻松查找或删除它。
图 1. Android.Fakelogin 尝试获取设备管理员权限(左)并替换默认 SMS 应用(右)
如果木马程序获取了这些权限,则可以执行数据窃取活动,如下图中所示:
图 2. Android.Fakelogin 从被侵害的设备,利用来自其 C&C 服务器的基于云服务的逻辑,窃取登录凭据。
该木马程序首先从其 C&C 服务器下载应用程序数据包名称列表,然后将其保存在首选项文件中。这会让威胁知道定位什么合法银行应用来注入内容。
图 3. Android.Fakelogin 将目标银行应用列表存储到保存在设备上的首选项文件中。
然后,恶意软件查询当前设备上运行的应用的名称。如果此应用在列表上,则威胁发送应用的数据包名称到 C&C 服务器。服务器提供仿冒网页作为响应,模仿目标应用的外观。这种基于云服务的方法所带来的灵活性,意味着恶意软件无需在银行更改其移动银行应用的外观或格式时进行更新。
接下来,恶意软件使用 WebView,在正在运行的应用界面之上显示此定制的仿冒网页。如果用户尝试通过欺诈页面登录,则其登录凭据将直接发送到攻击者的 C&C 服务器。
图 4. Android.Fakelogin 可在合法运行的应用程序上显示的仿冒网页示例
Android.Fakelogin 的网页仿冒策略并不是它唯一的高级功能。该恶意软件在注入设备之后,无需用户启动,使得木马程序难于被发现。该威胁同样也难于逆向工程,这得益于其混淆技术以及从远程位置获取目标应用的能力。
进化空间:2FA 代码是否会成为下一个目标?
此网页仿冒方法使得 Android.Fakelogin 成为了灵活的可扩展威胁。它使得攻击者可以不断向其 C&C 服务器添加更多欺诈银行页面,相比伪装成特定银行应用的新恶意软件变体来感染设备,这要简单得多。虽然威胁目前集中在银行页面上,但它可以下载新的数据包列表,定位到其他在线服务、社交网络等等。
此外,该恶意软件可用于绕过双重身份验证 (2FA)。攻击者可以首先通过典型的欺诈页面获取银行登录凭据。然后,发送另一个仿冒网页,要求提供发送到用户移动设备或电子邮件地址的 2FA 代码,从而获取对受保护帐户的访问。
防范
应用开发人员应该添加用户登录之后的单独授权步骤,保护其用户免于这些类型的威胁。例如,用户批准在银行应用中进行交易或者在社交网络应用中修改敏感帐户信息之前,应该提示用户重新进行身份验证。
建议采取以下措施,以便让用户保护其设备免于这些威胁:
- 在 Android 6.0 Marshmallow 可用之后立即在设备安装,因为这可以阻止 Android.Fakelogin 的功能。
- 使用完善的安全解决方案,例如 Symantec Mobility 或诺顿手机安全软件,防范移动威胁
- 确保软件为最新
- 仅从可靠来源安装应用
- 密切注意应用申请的权限
防护
赛门铁克和诺顿产品可检测此威胁并将其认定为 Android.Fakelogin。