移动应用程序的数量正在迅速增加,但安全风险也在增加。TeaBot Remote Access (TRAT) 木马程序在2021年初出现,旨在窃取受害者的凭据和短消息,该木马目前仍然很猖獗。行为生物识别技术是克服移动恶意软件发展挑战的关键。
在过去十年中,移动设备的使用量呈指数级增长。现在全球约有53亿个独立手机用户,其中90%以上访问互联网。每台移动设备平均安装了大约40个应用程序,预计到今年年底,应用程序的总下载量将超过2500亿个。
随着移动设备和应用程序数量的快速增长,网络攻击数量也在大幅增加,犯罪分子越来越关注对银行应用程序的渗透。移动渗透的手段如今越来越多样化、越来越复杂,并且具备升级的能力——TeaBot RAT木马程序也不例外,如今已经渗透到全球各地的银行、加密货币交易所和数字保险提供商,并且造成了损害。然而,行为生物识别技术提供了将风险降至最低的关键措施。
移动设备社交工程攻击
在大多数情况下,网络攻击始于复杂的社交工程攻击,以使用户将恶意软件下载到其终端设备上。这些木马通常以网络钓鱼电子邮件、短信或虚假应用程序的形式出现。
木马然后会自行安装,使黑客能够收集信息并加载更多恶意软件。例如,TeaBot RAT木马使网络犯罪分子能够获得设备的管理访问权限,并拦截银行应用程序凭据甚至一次性密码。
根据调查,每24起欺诈案件中就有1起涉及TeaBot RAT攻击。HTML覆盖攻击也用于获取关键数据。在大多数情况下,在智能手机上使用银行应用程序的用户并不知道此类行为。
TeaBot攻击的历史
恶意软件检测依赖于传统的防病毒技术,这些技术搜索可疑文件的名称,并定期检查应用程序及其哈希值是否存在恶意软件。另一方面,这些策略近年来已经不再那么有效。这是因为,为了避免被杀毒软件检测到,黑客会创建文件名不断变化的恶意软件。
在去年,TeaBot恶意软件攻击(在德国也称为Anatsa)成为行业媒体报道的头条新闻。恶意代码开发者试图通过将其伪装成无害应用程序来诱骗受害者下载恶意软件。TeaBot配备了RAT功能,并提供多种语言版本。它们通过Play商店之外的恶意应用程序传播,例如VLC MediaPlayer、UPS和DHL等应用程序。为了大规模传播恶意软件,黑客使用了所谓的伪装攻击:受害者收到一条带有应用程序链接的短信,并使用它下载木马。另一种传播是下载和安装TeaBot的虚假弹出窗口,将其自身实现为Android服务并在后台运行。这使得它可以永久地嵌入终端设备中而不会被检测到。在下载之后,它会获得广泛的权限,并立即开始扫描设备上安装的应用程序。
TeaBot木马通过远程控制受害者的智能手机有效地接管了用户的移动设备。它可以读取短消息并将其转发到命令和控制服务器,因此具有绕过一次性密码(OTP)预防措施的能力。它获得批准通知的访问权限并具有日志记录功能,可以禁用Google PlayProtect并发起覆盖攻击。Teabot通过从命令和控制服务器为目标应用程序加载一个特制的登录页面来做到这一点。网络钓鱼页面放置在银行应用程序上。在这里,用户的凭据通过密钥记录收集,并转发到黑客控制的命令和控制服务器。
TeaBot主要针对银行和加密货币应用程序,但该恶意软件还从其他已安装的应用程序中收集信息。受害者几乎不可能删除它。如果犯罪分子获得登录和帐户数据的访问权限并能够使用它们进行转账,则可能会造成惨重的经济损失。
行为生物识别:检测移动恶意软件
检测TeaBot RAT的一种方法是使用基于行为生物特征的解决方案。在这项技术的帮助下,银行能够识别是否是真实用户在操作设备,或者移动设备是否被恶意软件通过RAT远程控制。恶意软件与用户的行为方式不同的一个例子是导航速度。在控制设备时,欺诈者非常熟悉支付流程,并快速执行支付,以避免被受害者发现。
基于行为生物特征的技术将用户的行为与之前的客户会话相匹配,以确定一致性和意图。用户持有移动设备的方式也是另一个指示因素:在欺诈会话中,可能在会话期间都通过桌面设备进行,而真正的用户则拿着他们的智能手机四处走动。触摸和滑动模式也可以被分析和匹配。在TeaBot RAT攻击的情况下,通常看不到触摸区域,这表明终端正在被远程控制。如果在与先前会话不同的位置检测到操作行为,则表明真实用户在会话期间无法控制设备。
如果该技术基于行为生物识别技术识别出许多欺诈元素,则会向银行的安全专家发出警报。借助行为生物识别技术和机器学习,金融机构可以在客户遭受财务损失之前,对欺诈行为进行预防性干预。