关键词 恶意软件

　　Cleafy 的网络安全研究人员发现了一种新的 Android 银行木马，它能够通过滥用 ATS 来规避多因素身份验证控制。

　　10 月底，来自 Cleafy 的网络安全研究人员发现了该恶意软件，该恶意软件似乎不属于任何已知家族。

　　现在被称为 SharkBot的 Android 恶意软件已被追踪，其攻击重点是从运行谷歌 Android 操作系统的易受攻击的手机中窃取资金。

　　到目前为止，已经在英国、意大利和美国发现了感染。

　　相信SharkBot很可能是一个私有僵尸网络，目前仍处于早期发展阶段。

　　研究人员称，SharkBot 是模块化恶意软件，属于能够基于自动传输系统 （ATS） 系统执行攻击的下一代移动恶意软件。

　　ATS 允许攻击者以最少的人工输入自动填写受感染设备上的字段。与 Gustuff 银行木马相同，启动自动填充服务以促进通过合法金融服务应用程序进行欺诈性资金转移——这是恶意软件开发的总体趋势，也是手机上旧盗窃技术（例如使用网络钓鱼）的一个支点域。

　　Cleafy 建议 SharkBot 使用这种技术来试图绕过行为分析、生物特征检查和多因素身份验证 （MFA）——因为不需要注册新设备。然而，为了做到这一点，恶意软件必须首先破坏 Android 无障碍服务。

　　一旦在 Android 手机上执行，SharkBot 将立即请求可访问权限——并会用弹出窗口困扰受害者，直到获得批准。

　　不显示安装图标。现在有了它需要的所有手机权限，SharkBot 将悄悄地执行标准的窗口覆盖攻击，以窃取凭据和信用卡信息、基于 ATS 的盗窃，并且还能够键入日志并拦截或隐藏传入的 SMS 消息。

　　研究人员表示，银行木马还能够代表受害者执行“手势”。

　　国际银行和加密货币服务提供的应用程序正在成为目标。

　　一线希望是在官方 Android 应用程序存储库 Google Play 商店中没有找到任何示例。相反，恶意软件必须通过旁加载从外部源加载——供应商警告的这种做法可能很危险，因为这允许恶意应用程序绕过 Google Play 安全控制。

　　在撰写本文时，SharkBot 的防病毒解决方案检测率很低。

　　Cleafy 说：“随着 SharkBot 的发现，我们展示了移动恶意软件如何快速寻找新的欺诈方法，试图绕过多家银行和金融服务机构在过去几年实施的行为检测对策的新证据。” “就像过去几年工作站恶意软件的演变一样，在移动领域，我们看到了向 ATS 攻击等更复杂模式的快速演变。”