最近，Avast Threat Labs和SfyLabs的安全研究人员发现了一种新型的安卓恶意软件，他们将其为“Catelites”。它被认为与恶意软件Cron存在许多相似之处，且正在针对全球2200多家银行和金融机构的客户发起攻击。

在今年5月，俄罗斯当局逮捕了20名网络犯罪团伙成员，他们使用名为“Cron” 的银行木马程序成功窃取了90多万美元。Cron被隐藏在一大堆“山寨”应用中，它们可能是网上银行应用，也可能是某些提供成人内容的应用。

Catelites被证实采用了相似的传播方式，目前正通过第三方应用商店（并非Google Play这种官方应用商店）以及恶意广告提供的恶意应用传播。

一旦恶意应用被安装，就会在手机屏幕上创建一个如下图所示的图标。看起来像是一个防病毒软件，不仅如此，其命名也是“系统应用程序（System Application）”。

接下来，如果你点击了这个图标，恶意应用便会请求管理员权限。它采用了一种典型的方法，如果你不同意授予权限，应用则无法正常使用。权限请求弹窗会一直持续不断的弹出，直到你同意为止。在被授予权限之后，Catelites便会正式开始工作。

之前看到的图标将会消失，取而代之的是三个我们十分熟悉的图标：Gmail、Google Play以及Chrome。此外，在通知栏里还会出现一个无法删除的通知。

做这些，其实都是为了诱使你点击这三个图标。一旦你点击了其中任意一个，手机屏幕上便会出现一个虚假弹窗，提示你输入一些敏感信息，比如你的银行卡号码。

然而，获取银行卡号码并不是Catelites的最终目的。更糟糕的是，Catelites在获取到你的银行卡号后，会在你打开真实合法的银行应用时，显示一个虚假登录页面，其目的是诱使你输入网上银行的登录名、密码以及相关的银行卡信息。

根据研究人员的说法，Catelites能够模仿2200家银行（包括桑坦德银行和巴克莱银行）和金融机构的手机应用。虚假登录页面基于HTML，图标和名称似乎来源于Google Play商店中的合法银行应用。

此外，研究人员还发现，Catelites还内置了一些其他功能，只是在目前版本中并没有被激活，这包括：

• 拦截所有收到和发出的SMS消息；

• 检索正在运行的任务、电话号码、IMSI、设备型号、Android版本以及已安装的应用程序；

• 将铃声和音量设置为静音，以便用户不会听到短信通知消息声；

• 从联系人查询电话号码；

• 获取短信和彩信内容。