如果銀行通過短信向您發送密碼,則此Android特洛伊可能會竊取它們
您是否仍然認為成功進行惡意軟件操作取決於有才能的黑客創建定制的惡意軟件片段,從而使安全研究人員和執法機構遠離氣味?您可能想再考慮一下。例如,最近發現的一個名為Geost的Android銀行木馬已成功感染了俄羅斯和東歐的80萬種設備,其運營商已經收集了登錄憑據,可能使他們有機會獲得受害者數百萬歐元的收益。銀行賬戶。
他們於2016年首次推出了該產品,並設法將其保留到今年年初,直到考慮到騙子犯下的一連串的操作安全性(opsec)時,這才更加令人驚訝。但是,在我們接觸它們之前,讓我們先看看Geost是如何工作的。
Table of Contents
Geost –一個強大的銀行木馬,可以竊取您的密碼
捷克技術大學的塞巴斯蒂安·加西亞(Sebastian Garcia),捷克共和國的UNCUYO大學的瑪麗亞·何塞·厄基加(Maria Jose Erquiaga)和Avast的Anna Shirokova撰寫的研究論文中首先詳細介紹了該惡意軟件。研究人員在審查HtBot的活動時偶然發現了Geost。HtBot是惡意軟件運營商為了重定向其惡意流量而租用的地下代理網絡。
在監視通信時,專家們注意到來自俄羅斯設備的流量異常大,經過徹底調查,他們意識到他們正在查看以前未記錄的Android惡意軟件。
Geost的運營商通過獲取合法的Android應用程序,對其進行誘騙誘捕並通過第三方應用程序商店進行分發來感染受害者。一旦將木馬放在設備上,它就可以竊取各種信息,儘管它的主要重點是銀行密碼。
大部分憑據從短信中被盜
塞巴斯蒂安·加西亞( Sebastian Garcia) 告訴ZDNet ,在銀行以短信形式將其發送給受害人後,多達90%的洩露密碼被盜。
即使您完全忽略了像Geost這樣的木馬程序都可以輕易竊取短信的事實,但是以SMS形式發送在線銀行密碼的做法(在俄羅斯似乎比較普遍)仍然是一個壞消息,因為這意味著財務機構以易於閱讀的格式存儲它們 。
對於不通過不安全的媒體傳遞敏感信息的銀行,Geost旨在使用一次性登錄表單來欺騙憑據。. 被盜數據通過HtBot代理網絡重定向,並發送到至少13台C&C服務器之一。
Opsec Facepalms促成了Geost的發現
Geost的運營商顯然不知道安全研究人員正在監視他們僱用的HtBot代理網絡,但是即使這樣,他們也應該已經發現,受感染設備超過80萬台,增加的流量可能會引起人們對其操作的關注。但是,他們沒有這樣做,並且他們也忘記了在傳輸數據時可能應該採取一些措施來保護數據。
騙子並沒有為他們的C&C服務器使用SSL證書,這意味著受感染設備與騙子的後端基礎結構之間的流量相當容易被攔截。專家們對C&C內部進行了窺視,並對整個操作的運行方式有了很好的了解。
他們看到了受感染手機數量的統計數據,其中最受銀行攻擊的是銀行,他們還親眼看到了惡意軟件如何滲透並自動處理短信。這還不是全部。
在調查期間,研究人員偶然發現了Skype聊天記錄,該記錄顯示Geost運營商之間進行了超過八個月的交流。聊天記錄再次提供了類似此類惡意軟件操作過程中精彩事件的特寫。它揭示了更多的opsec錯誤,例如以純文本形式共享C&C密碼,並且表明某一時刻,參與該活動的一些網絡犯罪分子對發生的事情並不特別滿意。
日誌還顯示了在公共網站和服務上使用過的暱稱,研究人員表示,他們將努力監視站在背後的人們。希望他們能夠成功,因為儘管有許多失誤,但Geost的運營商仍然設法發起了一次大規模的活動,事實證明非常成功。