最新的Android Banking Trojan,Xbot,也是勒索营件
一种新的Android Malware窃取网上银行凭据,可以持有设备的文件以换取赎金,提供特别讨厌的单两个拳击。
叫做XBOT的恶意软件并不普遍,似乎只是在澳大利亚和俄罗斯的目标设备,在周四在博客帖子中写了Palo Alto网络的研究人员。
但他们相信任何人都在XBOT后面可能会尝试扩大其目标基础。
“由于作者似乎将这个特洛伊木马更加复杂和努力地施加了相当的时间和努力来检测,它可能是感染用户并保持隐藏的能力只会增长,”Palo Alto写道。
XBOT使用称为活动劫持的技术,以执行旨在窃取网上银行和个人信息的攻击。
当有人试图启动应用程序时,它基本上允许恶意软件启动不同的动作。用户没有意识到他们实际使用错误的程序或功能。
活动劫持在5.0之前的Android版本中利用功能。谷歌已经开发了防御措施,所以只有旧的设备或那些尚未更新的人会受到影响。
在一种攻击中,XBOT监视用户已启动的应用程序。如果它是一个特定的网上银行应用程序,XBOT会介入并显示一个遮挡真实应用的接口。
Bogus接口实际上从命令和控制服务器下载并使用WebView显示,Palo Alto写道。合法申请实际上并没有被篡改。
“到目前为止,我们发现了七个不同的伪造界面,”Palo Alto写道。“我们确定了六个 - 他们正在为澳大利亚的一些最受欢迎的银行模仿应用程序。接口与这些银行官方应用程序的登录界面非常相似。如果受害者填写表格,将发送“银行帐号,密码”和“安全令牌”,“将被发送到命令和控制服务器。
XBOT还可以通过WebView提出一个接口,说该设备已被Cryptolocker感染,众所周知的赎金软件程序。ransomware加密文件,然后询问解密密钥的付款。在这种情况下,攻击者要求通过欺骗PayPal网站支付100美元。
Xbot实际上将加密设备的外部存储器上的文件。但是,使用的加密算法很弱,并且可以恢复文件,Palo Alto写道。
XBOT还可以为个人数据刮擦电话,例如联系人,SMSES和电话号码,并将数据发送到攻击者。