【安全资讯】Toddler新型银行木马针对欧洲的攻击活动激增

研究人员表示，新型Android银行木马Toddler（也称TeaBot/Anatsa）针对欧洲的攻击活动正在急速增加。Toddler木马于今年1月份首次被披露，主要针对西班牙，但其恶意软件样本中也包含了针对西班牙语、英语、意大利语、德语、法语和荷兰语用户的文本内容，该恶意软件仍在积极开发中，目前为止已攻击了60家欧洲银行的客户，感染了超过7632台设备。在渗透到攻击者使用的命令和控制 (C2) 服务器后，研究人员还发现了 1000 多组被盗银行凭据。

Toddler木马具有窃取数据的功能，包括银行详细信息、键盘记录、截屏、拦截双因素身份验证(2FA)代码、SMS拦截、连接C2以传输信息、接受命令以及将受感染的设备链接到僵尸网络。该木马使用覆盖式攻击，通过显示伪造的登录屏幕，欺骗受害者提交他们的欧盟银行凭证。在安装后，恶意软件会监控正在打开的合法应用程序，一旦目标软件被启动，就会开始覆盖攻击。Toddler的伪造登陆界面如下：

Toddler从C2服务器下载打开的目标应用程序的登录页面，然后将下载的 webview 网络钓鱼页面覆盖在目标应用程序上。当合法的应用程序打开时，覆盖几乎立即发生，因此用户不会产生任何怀疑。该恶意软件还会试图窃取其他账户记录，如用来访问加密货币钱包的记录。C2的命令列表包括激活受感染设备的屏幕，提示权限请求，更改音量级别，试图通过辅助功能从谷歌身份验证器获取代码，以及卸载应用程序。Toddler包含多个持久性机制，其中最显著的是防止受感染设备因滥用辅助功能而重新启动。此外，Toddler还可以防止在安全模式下使用手机。