一家荷兰安全研究公司发现了一款名为 Vultur 的新型 Android 植入程序,它提供合法功能,然后在检测到银行和其他金融活动时悄悄转入恶意模式。
ThreatFabric 发现的 Vultur 是一个键盘记录器,它通过搭载当前银行会话并立即窃取资金来捕获金融机构的凭据 – 无形地。 为了防止受害者意识到发生了什么,它会锁定屏幕。
(注意:始终保留您银行的电话号码,这样直接致电当地分行可能会省钱 – 并将号码记录在纸上。如果它在您的手机上并且手机被锁定,那么您就不走运了。)
[通过 Computerworld 的时事通讯了解最新的 IT 思想领导力、见解、操作方法和分析。 ]
据 ThreatFabric 称,“Vultur 能够监控启动的应用程序,并在目标应用程序启动后开始屏幕录制/键盘记录”。 “除此之外,每次设备解锁时都会启动屏幕录制,以捕获用于解锁设备的 PIN 码/图形密码。分析师在真实设备上测试了 Vultur 功能,可以确认 Vultur 成功录制了输入 PIN 码的视频 /解锁设备并在目标银行应用程序中输入凭据时的图形密码。”
根据 ThreatFabric 的报告,“Vultur 使用 dropper 伪装成一些额外的工具,例如位于官方 Google Play Store 中的 MFA 身份验证器作为主要分发方式,因此,最终用户很难区分恶意应用程序。一旦安装,Vultur 将隐藏 它的图标并请求辅助功能服务权限以执行其恶意活动。获得这些权限后,Vultur 还会激活自我防御机制,使其难以卸载:如果受害者尝试卸载木马或禁用辅助功能服务权限,Vultur 将关闭 Android 设置菜单来阻止它。”
值得注意的是,使用生物识别技术登录金融应用程序——如今在 Android 和 iOS 上都很常见——是一个极好的举措。 但是,在这种情况下,它无济于事,因为应用程序会搭载实时会话。 下一次(希望如此)生物识别信息对应用程序的用处不大 _ 并且它不会帮助您抵御当前的攻击。
ThreatFabric 确实提供了三个摆脱 Vultur 控制的建议。 “一,将手机启动到安全模式,防止恶意软件运行”,然后尝试卸载该应用程序。 “第二,使用 ADB(Android 调试桥)通过 USB 连接到设备并运行命令 {code}adb uninstall <malware_package_name>{code}。或者执行恢复出厂设置。”
除了这些步骤需要大量清理以恢复手机之前的可用状态之外,它还需要受害者知道恶意应用程序的名称。 这可能不容易确定,除非受害者下载了非常少的不知名的应用程序。
正如我在最近的专栏中建议的那样,最好的防御措施是让所有最终用户只安装 IT 预先批准的应用程序。 如果用户发现新的所需应用程序,请将其提交给 IT,并等待批准。 (好的,你现在可以停止笑了。)无论政策如何,大多数用户都会在需要时安装他们想要的东西。 对于公司拥有的设备和员工拥有的 BYOD 设备都是如此。
使这一混乱局面进一步复杂化的是,用户倾向于暗中信任通过谷歌和苹果以官方方式提供的应用程序。 尽管这两家移动操作系统公司确实需要而且能够做更多的工作来筛选应用程序,但可悲的事实是,当今新应用程序的数量可能会使这些努力变得无效甚至徒劳。
他们 [Google 和 Apple] 选择成为一个开放平台,这就是后果。
想想秃鹰。 就连 ThreatFabric 的首席执行官 Cengiz Han Sahin 也表示,他怀疑苹果和谷歌都无法阻止 Vultur——无论部署了多少安全分析师和机器学习工具。
“我认为他们(谷歌和苹果)正在尽力而为。这太难检测了,即使他们拥有所有 [机器学习] 和所有新玩具来检测这些威胁,”Sahin 在接受采访时说。 “他们选择成为一个开放平台,这就是后果。”
检测问题的一个关键部分是这些植入程序背后的犯罪分子在应用程序变成恶意之前真正提供了正确的功能。 因此,测试该应用程序的人可能会发现它正在做它所承诺的事情。 要找到恶意方面,系统或人员必须仔细检查所有代码。 “直到攻击者决定做一些恶意的事情,恶意软件才真正成为恶意软件,”Sahin 说。
如果金融机构能提供更多帮助,也会有所帮助。 支付卡(借记卡和信用卡)在标记和暂停任何看似偏离规范的交易方面做得非常出色。 为什么这些相同的金融机构不能对所有在线汇款进行类似的检查?
这让我们回到了 IT。 无视 IT 政策的用户必须承担后果。 依靠引用的删除 Vultur 的建议,也意味着数据丢失的明确可能性。 如果丢失的是企业数据怎么办? 如果数据丢失需要团队重做数小时的工作怎么办? 如果它延迟交付欠客户的东西怎么办? 业务线预算因员工或承包商违反政策而受到打击是否正确?
