安全公司Dr. Web曾在2017年1月发出警告称,一个安卓银行木马的源代码及其使用方法已经被公开发布在了一个黑客论坛上,并且已经有网络犯罪分子在一个月以前利用这些源代码创建了一款新的安卓银行木马 Android.BankBot.149.origin。
Dr. Web表示,此时的BankBot还仅是一个典型的银行木马,能够显示网络钓鱼对话框、窃取手机银行用户的敏感信息,如银行详细信息和信用卡数据。
Dr. Web认为,在接下来的很长一段时间里,安卓用户必将迎来一系列基于BankBot的攻击。事实证明,Dr. Web的担忧正确的。自源代码公开以来,已经有很多恶意软件开发者在其基础上创建了多个变种,并通过Google Play商店进行分发。
其中一些变种已经演变成了兼具多种功能的恶意程序,例如,窃取加密货币交易应用程序的用户名和密码,以及对用户进行监视。已经被Dr. Web检测到的变种包括Android.BankBot.179.origin、Android.BankBot .160.origin、Android.BankBot.163.origin、Android.BankBot.193.origin和Android.Banker .202.origin,这几个变种的开发者无疑都将它们伪装成了合法的应用程序。
Dr. Web在2017年11月发现了一个较新的变种,并将其检测为Android.BankBot.250.origin(也被其他安全公司称为“Anubis”)。它几乎完全复制了Android.BankBot.149.origin的所有功能,但已经兼具了包括勒索软件(Ransomware)功能、键盘记录(keylogger)功能、远程访问特木马(RAT)功能、短信拦截功能、呼叫转移和锁定屏幕功能等多种额外功能。
然而即使这样,BankBot家族的扩展也没有到此止步,并且后续变种还在Android.BankBot.250.origin的基础上继续扩展功能。其中一个名为Android.BankBot.325.origin的新变种能够查看存储在受感染智能手机或平板电脑内存中的文件列表,将任何文件下载到管理服务器以及删除它们。
另外,它还能够被用于进行网络间谍活动。例如,监视受感染设备屏幕上发生的所有事情,进行屏幕截图并发送给攻击者以及能够使用内置麦克风监听周围环境中的声音。
以下是Android.BankBot.325.origin所具备的完整功能列表:
用给定文本发送SMS消息到命令中指定的号码;
执行USSD请求;
启动应用程序;
更改管理服务器的地址;
将存储在设备上的SMS消息的副本发送到管理服务器;
接收安装的应用程序的信息;
拦截在键盘上输入的字符(键盘记录器);
要求增加工作许可证;
显示命令中指定文本的对话框;
显示内容在命令中指定的推送通知;
显示内容在木马代码中设置的推送通知;
将联系人列表中的所有号码发送至服务器;;
发送短信给联系人列表中的所有号码;
阻止显示从服务器网页接收的内容的WebView设备窗口;
请求访问辅助功能(辅助功能服务);
重定向电话;
在浏览器网站地址中打开,在命令中指定;
使用WebView打开网页链接;
提交加密和赎金需求;
解密文件;
使用设备的麦克风录制周围环境中的声音;
访问关于设备及其位置的信息;
获取设备的IP地址;
清理配置文件并停止木马执行。
Dr. Web指出,他们已经确定该木马正在攻击位于俄罗斯、乌克兰、土耳其、英国、德国、法国、美国、中国香港、匈牙利、以色列、日本、新西兰、波兰和罗马尼亚的安卓用户。并且,只要攻击者愿意,他们可以随时对目标列表进行更新,因此该木马的攻击目标可以是位于全球的任何一个国家。
另外,BankBot家族的发展同样也不可能就此止步,Android.BankBot.325.origin的开发人员或者其他开发人员可能还会推出兼具更多功能的新变种。