天创培训:您身边的信息安全培训专家!
行业动态
安卓银行木马Exobot源代码已泄露 大规模网络攻击可能随时到来

安卓银行木马Exobot源代码已泄露 大规模网络攻击可能随时到来

据外媒报道,一款顶级安卓银行木马的源代码已经被泄露到了网上并迅速传播,这使得众多安全研究人员开始担心新一轮的恶意软件攻击浪潮可能正在酝酿之中。

这个恶意软件被称为Exobot,一种安卓银行木马,于2016年底首次被发现。在今年1月份,其开发者放弃了对它的继续开发,并将其源代码进行了出售。

对于被安全研究人员称之为MaaS(Malware-as-a-Service,恶意软件即服务)或CaaS(Cybercrime-as-a-Service,网络犯罪即服务)的经营模式来说,恶意软件的开发者通常只会按每月或每周收费来出售其恶意软件的使用权。

如果恶意软件的开发者决定出售完整的源代码,这通常意味着他正准备开发其他的恶意软件,或者是“退出江湖”。在一般的情况下,当有人购买了这些源代码之后,它们很快就会网上出现。

Exobot源代码早在5月份就已经泄露

上述这种情况在过去已经发生过很多次,涉及到各种各样的恶意软件,只是现在事件的主角换成了Exobot而已。根据恶意软件研究技术网站Bleeping Computer的说法,他们在上个月从一位没有透露姓名的人那里发送过来的Exobot源代码的副本。

Bleeping Computer随后将它与ESET和ThreatFabric的安全研究人员进行了共享,并验证了源代码的真实性。

这份源代码被证明是Exobot银行木马的2.5版本,也被称为“特朗普版本”,在Exobot的原开发者放弃它之前,它是Exobot的最后一个版本。

来自ThreatFabric的安全研究人员告诉Bleeping Computer,他们收到的Exobot源代码实际上早在5月份就已经被泄露了。当时有人从Exobot原作者那里购买了它,并决定与其他人进行分享。至此,Exobot的源代码就出现在了很多地下黑客论坛上。

基于Exobot的攻击活动可能会增加

安全研究人员现在担心,Exobot源代码的扩散可能会导致攻击活动的激增,并且可能会出现大量捆绑了此木马的恶意安卓应用程序。

这种担忧似乎并不是“危言耸听”,因为类似的事件以前就已经发生过。在2016年12月,另一款安卓银行木马BankBot的源代码也遭到了泄露,导致在2017年出现了大规模的目的在于推送该木马的攻击活动。

现成的可用源代码降低了恶意软件开发人员进入安卓恶意软件领域的入门门槛和开发成本。现在,随着Exobot以同样的方式被共享,安全研究人员正在准备迎接类似攻击活动的浪潮。

Exobot的功能非常强大

安全研究员兼ThreatFabric发言人Cengiz Han Sahin 表示,Exobot是一种非常强大的银行木马,甚至可以感染运行最新版本Android系统的智能手机,这是极少数木马才能做到的一点。

“该木马获取了前台应用程序的软件包名称,且不需要任何额外的权限。”他说,“虽然这仍然有点麻烦,但在大多数设备上都能够运行。”

“它的危险之处在于不需要任何安卓权限。”Sahin补充道,“所有其他安卓银行木马家族都使用Accessibility ore Use Stats权限来实现相同的目标,因此需要恶意软件的使用者与受害者进行交互。”

Exobot的源代码现在不仅已经被共享,而且的确可用。就像BankBot源代码在2016年被泄露时一样,在接下来的几个月里,我们可能会看到安卓恶意软件的开发者默默地从使用BankBot切换到使用Exobot,因为很少有人会拒绝“免费升级”到更好的代码。