对 2022 年移动威胁形势的分析表明,西班牙和土耳其是恶意软件活动的最大目标国家,尽管新的和现有的银行木马越来越多地针对 Android 设备进行设备欺诈 (ODF)。
其他经常成为攻击目标的国家包括波兰、澳大利亚、美国、德国、英国、意大利、法国和葡萄牙。
荷兰网络安全公司 ThreatFabric在与黑客新闻分享的一份报告中表示:“最令人担忧的主题是对设备上欺诈 (ODF) 的日益关注。”
“仅在 2022 年的前五个月,滥用 Android 操作系统使用设备本身进行欺诈的恶意软件家族就增加了 40% 以上,这使得使用传统的欺诈评分引擎几乎不可能检测到它们。”
根据同期观察到的样本数量,Hydra、FluBot(又名 Cabassous)、Cerberus、Octo和ERMAC是最活跃的银行木马。
伴随着这一趋势的是,在 Google Play 商店中不断发现新的 dropper 应用程序,这些应用程序以看似无害的生产力和实用程序应用程序为幌子分发恶意软件 -
- Nano Cleaner (com.casualplay.leadbro)
- QuickScan (com.zynksoftware.docuscanapp)
- Chrome (com.talkleadihr)
- Play Store (com.girltold85)
- Pocket Screencaster (com.cutthousandjs)
- Chrome (com.biyitunixiko.populolo)
- Chrome (Mobile com.xifoforezuma.kebo)
- BAWAG PSK Security (com.qjlpfydjb.bpycogkzm)
更重要的是,设备上的欺诈(指从受害者设备发起恶意交易的隐秘方法)使得使用先前被盗的凭据登录银行应用程序并进行金融交易变得可行。
更糟糕的是,还观察到银行木马不断更新其功能,Octo 设计了一种改进的方法,甚至在提交之前就从覆盖屏幕窃取凭据。
研究人员解释说:“这样做是为了即使 [the] 受害者怀疑某些事情并在没有实际按下覆盖页面中存在的虚假'登录'的情况下关闭覆盖,也能够获得凭据。”
去年 9 月出现的 ERMAC 已经获得了自己的显著升级,允许它利用 Android 的Accessibility Service以自动方式从不同的加密货币钱包应用程序中提取种子短语。
无障碍服务近年来一直是 Android 的致命弱点,它允许攻击者利用合法的API为毫无戒心的用户提供虚假的覆盖屏幕并捕获敏感信息。
去年,谷歌试图解决这个问题,确保“只有旨在帮助残疾人使用他们的设备或以其他方式克服他们的残疾带来的挑战的服务才有资格宣布它们是无障碍工具。”
但这家科技巨头在目前处于测试阶段的 Android 13 中更进一步,通过限制用户从应用商店外部侧载的应用的 API 访问,有效地使潜在有害应用更难滥用该服务。
也就是说,ThreatFabric 指出,它能够通过调整安装过程轻松绕过这些限制,这表明需要更严格的方法来应对此类威胁。
建议用户坚持从 Google Play 商店下载应用程序,避免向无目的请求它们的应用程序授予异常权限(例如,要求访问联系人列表的计算器应用程序),并注意任何旨在安装的网络钓鱼尝试流氓应用。
研究人员表示:“Android 操作系统的开放性既有好处也有坏处,因为恶意软件继续滥用合法功能,而即将到来的限制似乎几乎不会干扰此类应用程序的恶意意图。”