手機銀行木馬BankBot再戰江湖 可繞過谷歌安全審查機制

BankBot首次發現於今年一月份。當時一款未命名銀行木馬的源代碼出現在地下黑市，隨後被整合成BankBot。截至目前，它的攻擊目標是位於俄羅斯、英國、奧地利、德國和土耳其的銀行。如今這款惡意軟體進行偽裝後可繞過谷歌安全掃描器。

BankBot木馬的特點

BankBot木馬配置靈活，執行開關受服務端控制；根據C&C端下發的指令進行遠程控制；竊取用戶隱私，對全球多家金融類app劫持，釣魚登錄界面，進而截獲、捕捉用戶輸入數據，最終非法入侵用戶互聯網賬戶系統。

BankBot木馬運行流程如下

BankBot設法繞過谷歌應用商店安全檢查

截止4月份，研究人員已發現了三起不同的BankBot攻擊活動，且谷歌已拿下受感染的app。

但現在多家安全公司又發現了BankBot的蹤跡。一家荷蘭安全公司Securify指出，兩起新的BankBot攻擊活動設法繞過了谷歌應用商店的安全檢查。

BankBot的劫持分析

當受害人打開合法銀行app時，該木馬監控到此行為，載入偽裝的銀行頁面 ,並覆蓋真實銀行app界面。對於界面劫持攻擊，最重要的一步就是誘騙受害者進入他們偽造的登錄界面，因此，假冒的銀行登錄窗口得與原生窗口非常相似，讓用戶很難區分真偽。

另外的一些釣魚界面。

它還能竊取其它app的登錄詳情，包括Facebook、YouTube、WhatsApp、Snapchat、Instagram、Twitter、甚至是谷歌應用商店。

BankBot具有很多功能，如像勒索軟體那樣鎖定用戶設備或者攔截用戶文本以繞過雙因素驗證。

研究人員已發布了遭受BankBot攻擊的424款合法銀行app，包括滙豐銀行、法國巴黎銀行等。

安全建議

1. E安全建議用戶下載應用請到官方網站或安全應用市場，切勿點擊任何色情鏈接，尤其是簡訊、QQ、微信等聊天工具中不熟識的「朋友」發來的鏈接。

2. 如果不確定手機是否毒，可以安裝手機安全軟體，對手機上的應用進行檢測，防止高風險惡意應用的安裝。

本文綜合整理自安全客與阿里聚安全