伊朗银行客户都无法免受出于经济动机的网络犯罪分子的攻击,这些犯罪分子使用令人信服但虚假的移动应用程序。
近几个月来,针对伊朗银行业的大规模活动规模不断扩大,近 300 个恶意 Android 应用程序针对用户的账户凭据、信用卡和加密钱包发起攻击。
四个月前,Sophos 的研究人员详细介绍了一场漫长的活动,涉及 40 个恶意银行应用程序,旨在获取属于不知情客户的凭据。通过模仿伊斯兰共和国最重要的四家金融机构——梅拉特银行、萨德拉特银行、雷萨拉特银行和伊朗中央银行——黑客能够在受害者的手机上安装和隐藏他们的山寨应用程序,获取登录信息,拦截短信一次性密码,并窃取敏感的财务信息,包括信用卡。
显然,这只是开场。Zimperium 的一篇新博客文章披露了另外 245 个应用程序与同一明显正在进行的活动相关,其中 28 个应用程序之前未在 VirusTotal 上记录。
这个新宝库不仅更大,而且比前 40 个宝库更多样化、更复杂,具有新的目标类型以及隐秘和持久的战术。
285 虚假银行应用程序
自今年夏天以来发现的 245 个新应用程序超出了最初 40 个应用程序的范围,积极针对四家新的伊朗银行,有证据表明他们还瞄准了另外四家银行。
除了银行之外,攻击者还开始探测与 16 个加密货币平台相关的数据,包括 Metamask、KuCoin 和 Coinbase 等流行平台。
为了便于瞄准十几家银行和 16 个加密货币中心,攻击者还在他们的武器库中添加了一些新工具。例如,他们用来避免基础设施瘫痪的一个小技巧涉及命令和控制服务器,其唯一目的是分发网络钓鱼链接。正如研究人员解释的那样,这“允许在应用程序上对服务器 URL 进行硬编码,而不会有被删除的风险。”
然而,该组织最引人注目的新策略是其应用程序如何滥用无障碍服务。
“在使用辅助功能 API 时,他们获得了一种以编程方式访问 UI 元素的方法,”Zimperium 首席科学家 Nico Chiaraviglio 解释道。他解释说,攻击者可以通过某些与用户相同的方式与设备进行隐形交互,从而达到恶意效果。例如,“他们可以请求危险权限(例如阅读短信),当提示用户接受该权限时,他们甚至在用户看到通知之前就单击“接受”。或者,他们通过单击“取消”来阻止卸载’当用户尝试卸载应用程序时。”
到目前为止,假冒应用程序仅限于 Android 设备。但在攻击者的物品中,研究人员确实发现了模仿银行应用程序 Apple App Store 页面的网络钓鱼网站,这表明该活动可能会在不久的将来扩展到 iPhone。
早在这一切发生之前,该活动就已经影响了数千人。“根据从他们的 Telegram 频道之一获得的信息,我们知道有数千名受害者。但我们只能访问所使用的频道之一(因为其中一个频道是私人的),并且不能保证他们没有这样做过去使用其他渠道。”
发表评论
您还未登录,请先登录。
登录