22 款 Android 程式屬 Xbot 木馬 可竊取銀行帳戶及加密勒索

Palo Alto Networks 最近發現了 22 款 Android 應用程式屬於命名為「Xbot」的新型木馬程式家族。 這個木馬程式雖然仍處於定期更新的開發階段, 卻已能夠作出多樣的惡意行為。它試圖通過網釣法製作模仿 Google Play 的付款介面以及七個不同銀行應用程式的登入頁面, 以竊取受害者的銀行認證和信用卡資料。

Palo Alto Networks 最近發現了 22 款 Android 應用程式屬於命名為「Xbot」的新型木馬程式家族。 這個木馬程式雖然仍處於定期更新的開發階段, 卻已能夠作出多樣的惡意行為。它試圖通過網釣法製作模仿 Google Play 的付款介面以及七個不同銀行應用程式的登入頁面, 以竊取受害者的銀行認證和信用卡資料。

 

它還可以遙控鎖定受感染的 Android 設備,加密用戶在外置儲存裝置例如:SD 卡中的文件,然後索取 100 美元的PayPal 現金卡作為贖金。此外,Xbot 將竊取所有短訊以及聯絡人資料, 攔截相關的短訊並分析銀行發送的流動交易驗證碼 (Mobile Transaction Authentication Number, 簡稱 mTANs) 。

該惡意軟件到目前為止似乎並不廣泛, 加上在其代碼中的一些標記和偽造應用程式的界面中顯示, 目前它主要針對俄羅斯和澳洲的Android用戶。 值得注意的是, 在這七間被模仿的銀行應用程式中有六間都是澳洲熱門的銀行。 然而,由於 Xbot 執行於靈活的架構之中,能輕易地擴展到更多 Android 應用程式作為攻擊目標。 Palo Alto Networks 已監視到發起人正進行定期的更新和改進, 因此這惡意軟件可能很快便威脅到世界各地的 Android 用戶。

Xbot 主要是利用一個名為「Activity Hijacking」的流行攻擊技術作的入侵。被 Xbot 模仿的應用程式則並沒有被利用。從 Android 5.0 開始,Google 採取了保護機制來減少這種攻擊,但 Xbot 採用的其他攻擊方法仍然對 Android 的所有版本造成影響。

 

作者: Cong Zheng、Claud Xiao 及 Zhi Xu

Palo Alto Networks 威脅情報團隊Unit 42 分析員