【安全资讯】Alien：针对全球机构的新型Andorid银行木马

Cerberus是过去12个月中最成功的Android银行木马服务或MaaS（恶意软件即服务），自2020年8月后，Cerberus的使用数量逐渐减少，但是研究人员发现Cerberus初始变种的一个分支，并称为“Alien”。  Alien自2020年1月上旬开始活跃。

Alien恶意软件是一个租借的银行木马，它具有通用功能，例如覆盖攻击，控制和窃取SMS消息以及收集联系人列表。它可以利用其键盘记录器进行任何用途，因此比其目标列表更进一步扩大了攻击范围。它还提供了从受感染设备安装，启动和删除应用程序的可能性。最重要的是，它提供了一个通知嗅探器，使它可以获取受感染设备上所有通知的内容。

Alien 完整功能列表如下：

1.叠加：动态（从C2获得的本地注入）

2.键盘记录

3.远程访问

4.短信收集：短信列表

6.5.短信收集：短信转发

7.设备信息收集

8.联系人列表集合

9.申请清单

10.位置收集

11.重叠式广告：目标列表更新

12.短信：发送中

13.致电：USSD提出要求

14.通话：来电转接

15.远程操作：应用安装

16.远程操作：启动应用

17.远程操作：删除应用

18.远程操作：显示任意网页

19.远程操作：屏幕锁定

20.通知：推送通知

21.C2弹性：辅助C2列表

22.自我保护：隐藏应用程序图标

23.自我保护：防止被移除

24.自我保护：仿真检测

25.体系结构：模块化

由于两个恶意软件家族源自相同的代码库，我们认为可以通过比较C2协议进行区分。

Alien C2请求的构建如下：

<lock v:ext="edit" aspectratio="t">
</lock>

Cerberus C2请求的构建如下：

这两个恶意软件基于相同的代码，其中大多数功能是相同的，但是 Alien 的作者添加了两个版本的Cerberus所缺少的两个主要功能，分别是基于TeamViewer的受感染设备的远程控制和通知嗅探器（窃密程序）。

研究人员认为Alien是针对全球机构的木马。使用Alien的攻击者似乎对最具针对性的国家感兴趣，例如但不限于西班牙，土耳其，德国，美利坚合众国，意大利，法国，波兰，澳大利亚和英国。

结论：

2020年，不仅新的Android银行木马数量有所增加，而且其中许多还带来了创新功能。对于Alien，除了木马程序的普遍功能外，还加入了身份验证程序代码窃取程序和通知嗅探器之类的高级功能。越来越多的木马程序嵌入新功能，使犯罪分子能够对受感染设备（RAT）进行远程控制，以便从受害者的设备中窃取信息。我们强烈建议所有金融机构了解其当前和未来的威胁，并实施相关的检测和控制机制。