作者: Palo Alto Networks 威脅情報團隊Unit 42 分析員Cong Zheng、Claud Xiao及Zhi Xu
節錄:
我們最近發現了22款Android應用程式屬於命名為「Xbot」的新型木馬程式家族。這個木馬程式雖然仍處於定期更新的開發階段,卻已能夠作出多樣的惡意行為。它試圖通過網釣法製作模仿Google Play的付款介面以及七個不同銀行應用程式的登入頁面,以竊取受害者的銀行認證和信用卡資料。它還可以遙控鎖定受感染的Android設備,加密用戶在外置儲存裝置例如:SD卡中的文件,然後索取100美元的PayPal現金卡作為贖金。此外,Xbot將竊取所有短訊以及聯絡人資料,攔截相關的短訊並分析銀行發送的流動交易驗證碼 (Mobile Transaction Authentication Number, 簡稱mTANs) 。
該惡意軟件到目前為止似乎並不廣泛,加上在其代碼中的一些標記和偽造應用程式的界面中顯示,目前它主要針對俄羅斯和澳洲的Android用戶。值得注意的是,在這七間被模仿的銀行應用程式中有六間都是澳洲熱門的銀行。然而,由於Xbot執行於靈活的架構之中,能輕易地擴展到更多Android應用程式作為攻擊目標。我們已監視到發起人正進行定期的更新和改進,因此這惡意軟件可能很快便威脅到世界各地的Android用戶。
Xbot主要是利用一個名為「Activity Hijacking」的流行攻擊技術作的入侵。被Xbot模仿的應用程式則並沒有被利用。從Android 5.0開始,Google採取了保護機制來減少這種攻擊,但Xbot採用的其他攻擊方法仍然對Android的所有版本造成影響。