如果银行通过短信向您发送密码,则此Android特洛伊可能会窃取它们
您是否仍然认为成功进行恶意软件操作取决于有才能的黑客创建定制的恶意软件片段,从而使安全研究人员和执法机构远离气味?您可能想再考虑一下。例如,最近发现的一个名为Geost的Android银行木马已成功感染了俄罗斯和东欧的80万种设备,其运营商已经收集了登录凭据,可能使他们有机会获得受害者数百万欧元的收益。银行账户。
他们于2016年首次推出了该产品,并设法将其保留到今年初,直到考虑到骗子犯下的一连串的操作安全性(opsec)时,这才更加令人惊讶。但是,在我们接触它们之前,让我们先看看Geost是如何工作的。
Table of Contents
Geost –一个强大的银行木马,可以窃取您的密码
首先由捷克技术大学的Sebastian Garcia,捷克共和国的UNCUYO大学的Maria Jose Erquiaga和Avast的Anna Shirokova撰写的研究论文中详细介绍了该恶意软件。研究人员在审查HtBot的活动时偶然发现了Geost。HtBot是恶意软件运营商为了重定向其恶意流量而租用的地下代理网络。
在监视通信时,专家们注意到来自俄罗斯设备的流量异常大,经过彻底调查,他们意识到他们正在查看以前未记录的Android恶意软件。
Geost的运营商通过获取合法的Android应用程序,对其进行诱骗诱捕并通过第三方应用程序商店进行分发来感染受害者。一旦将木马放在设备上,它就可以窃取各种信息,尽管它的主要重点是银行密码。
大部分凭据从短信中被盗
塞巴斯蒂安·加西亚( Sebastian Garcia) 告诉ZDNet ,在银行以短信形式将其发送给受害人后,多达90%的泄露密码被盗。
即使您完全忽略了诸如Geost之类的木马都可以轻易窃取短信的事实,但是以SMS形式发送在线银行密码的做法(在俄罗斯似乎比较普遍)仍然是一个坏消息,因为这意味着财务机构以易于阅读的格式存储它们 。
对于不通过不安全的媒体传递敏感信息的银行,Geost旨在使用一次性登录表单来欺骗凭据。. 被盗数据通过HtBot代理网络重定向,并发送到至少13台C&C服务器之一。
Opsec Facepalms促成了Geost的发现
Geost的运营商显然不知道安全研究人员正在监视他们雇用的HtBot代理网络,但是即使这样,他们也应该已经发现,受感染设备超过80万台,增加的流量可能会引起人们对其操作的关注。但是,他们没有这样做,并且他们也忘记了在传输数据时可能应该采取一些措施来保护数据。
骗子并没有为他们的C&C服务器使用SSL证书,这意味着受感染设备和骗子的后端基础结构之间的流量相当容易被拦截。专家们对C&C内部进行了窥视,并对整个操作的运行方式有了很好的了解。
他们看到了受感染手机数量的统计数据,其中最受银行攻击的是银行,他们还亲眼目睹了恶意软件如何渗透并自动处理短信。这还不是全部。
在进行调查时,研究人员偶然发现了Skype聊天记录,该记录显示Geost运营商之间进行了超过八个月的交流。聊天历史再次提供了类似此类恶意软件操作过程中精彩内容的特写。它揭示了更多的opsec错误,例如以纯文本形式共享C&C密码,并且表明某一时刻,参与该活动的一些网络犯罪分子对发生的事情并不特别满意。
日志还显示了在公共网站和服务上使用过的昵称,研究人员表示,他们将试图监视站在背后的人们。希望他们能够成功,因为尽管有许多失误,但Geost的运营商仍然设法发起了一次大规模的战役,事实证明该战役非常成功。