最近,Avast Threat Labs和SfyLabs的安全研究人员发现了一种新型的安卓恶意软件,他们将其为“Catelites”。它被认为与恶意软件Cron存在许多相似之处,且正在针对全球2200多家银行和金融机构的客户发起攻击。
在今年5月,俄罗斯当局逮捕了20名网络犯罪团伙成员,他们使用名为“Cron” 的银行木马程序成功窃取了90多万美元。Cron被隐藏在一大堆“山寨”应用中,它们可能是网上银行应用,也可能是某些提供成人内容的应用。
Catelites被证实采用了相似的传播方式,目前正通过第三方应用商店(并非Google Play这种官方应用商店)以及恶意广告提供的恶意应用传播。
一旦恶意应用被安装,就会在手机屏幕上创建一个如下图所示的图标。看起来像是一个防病毒软件,不仅如此,其命名也是“系统应用程序(System Application)”。
接下来,如果你点击了这个图标,恶意应用便会请求管理员权限。它采用了一种典型的方法,如果你不同意授予权限,应用则无法正常使用。权限请求弹窗会一直持续不断的弹出,直到你同意为止。在被授予权限之后,Catelites便会正式开始工作。
之前看到的图标将会消失,取而代之的是三个我们十分熟悉的图标:Gmail、Google Play以及Chrome。此外,在通知栏里还会出现一个无法删除的通知。
做这些,其实都是为了诱使你点击这三个图标。一旦你点击了其中任意一个,手机屏幕上便会出现一个虚假弹窗,提示你输入一些敏感信息,比如你的银行卡号码。
然而,获取银行卡号码并不是Catelites的最终目的。更糟糕的是,Catelites在获取到你的银行卡号后,会在你打开真实合法的银行应用时,显示一个虚假登录页面,其目的是诱使你输入网上银行的登录名、密码以及相关的银行卡信息。
根据研究人员的说法,Catelites能够模仿2200家银行(包括桑坦德银行和巴克莱银行)和金融机构的手机应用。虚假登录页面基于HTML,图标和名称似乎来源于Google Play商店中的合法银行应用。
此外,研究人员还发现,Catelites还内置了一些其他功能,只是在目前版本中并没有被激活,这包括:
拦截所有收到和发出的SMS消息;
检索正在运行的任务、电话号码、IMSI、设备型号、Android版本以及已安装的应用程序;
将铃声和音量设置为静音,以便用户不会听到短信通知消息声;
从联系人查询电话号码;
获取短信和彩信内容。