【安全资讯】Alien:针对全球机构的新型Andorid银行木马
Cerberus是过去12个月中最成功的Android银行木马服务或MaaS(恶意软件即服务),自2020年8月后,Cerberus的使用数量逐渐减少,但是研究人员发现Cerberus初始变种的一个分支,并称为“Alien”。 Alien自2020年1月上旬开始活跃。
Alien恶意软件是一个租借的银行木马,它具有通用功能,例如覆盖攻击,控制和窃取SMS消息以及收集联系人列表。它可以利用其键盘记录器进行任何用途,因此比其目标列表更进一步扩大了攻击范围。它还提供了从受感染设备安装,启动和删除应用程序的可能性。最重要的是,它提供了一个通知嗅探器,使它可以获取受感染设备上所有通知的内容。
Alien 完整功能列表如下:
1.叠加:动态(从C2获得的本地注入)
2.键盘记录
3.远程访问
4.短信收集:短信列表
6.5.短信收集:短信转发
7.设备信息收集
8.联系人列表集合
9.申请清单
10.位置收集
11.重叠式广告:目标列表更新
12.短信:发送中
13.致电:USSD提出要求
14.通话:来电转接
15.远程操作:应用安装
16.远程操作:启动应用
17.远程操作:删除应用
18.远程操作:显示任意网页
19.远程操作:屏幕锁定
20.通知:推送通知
21.C2弹性:辅助C2列表
22.自我保护:隐藏应用程序图标
23.自我保护:防止被移除
24.自我保护:仿真检测
25.体系结构:模块化
由于两个恶意软件家族源自相同的代码库,我们认为可以通过比较C2协议进行区分。
Alien C2请求的构建如下:
<lock v:ext="edit" aspectratio="t">
</lock>
Cerberus C2请求的构建如下:
这两个恶意软件基于相同的代码,其中大多数功能是相同的,但是
Alien 的作者添加了两个版本的Cerberus所缺少的两个主要功能,分别是基于TeamViewer的受感染设备的远程控制和通知嗅探器(窃密程序)。
研究人员认为Alien是针对全球机构的木马。使用Alien的攻击者似乎对最具针对性的国家感兴趣,例如但不限于西班牙,土耳其,德国,美利坚合众国,意大利,法国,波兰,澳大利亚和英国。
结论:
2020年,不仅新的Android银行木马数量有所增加,而且其中许多还带来了创新功能。对于Alien,除了木马程序的普遍功能外,还加入了身份验证程序代码窃取程序和通知嗅探器之类的高级功能。越来越多的木马程序嵌入新功能,使犯罪分子能够对受感染设备(RAT)进行远程控制,以便从受害者的设备中窃取信息。我们强烈建议所有金融机构了解其当前和未来的威胁,并实施相关的检测和控制机制。