超过 1,000 个 Godfather 移动银行木马样本在全球数十个国家/地区传播,针对数百个银行应用程序。
Godfather 于 2022 年首次被发现,它可以记录屏幕和击键、拦截双因素身份验证 (2FA) 通话和短信、发起银行转账等,并迅速成为全球最广泛的恶意软件即服务产品之一。网络犯罪,尤其是移动网络犯罪。根据 Zimperium 的2023 年“移动银行抢劫报告”,截至去年底,Godfather 的目标是分布在 57 个国家的 237 个银行应用程序。其附属机构将被盗的财务信息泄露到至少九个国家,主要在欧洲,包括美国。
所有这些成功引起了人们的关注,因此,为了防止安全软件破坏聚会,Godfather 的开发人员一直在以接近工业规模的方式为客户自动生成新样本。
其他各个领域的移动恶意软件开发人员也开始做同样的事情。 Zimperium 首席科学家 Nico Chiaraviglio 警告说:“我们看到恶意软件活动开始变得越来越大。”他将于5 月份在 RSAC举办有关此问题和其他移动恶意软件趋势的会议。
除了 Godfather 和其他已知家族之外,Chiaraviglio 还在追踪一个规模更大、仍处于保密状态的移动恶意软件家族,拥有超过 100,000 个独特的野外样本。 “所以这太疯狂了,”他说。 “我们以前从未在单个恶意软件中看到过如此多的样本。这绝对是一种趋势。”
银行木马产生数百个样本
移动安全已经远远落后于桌面安全。 “在 90 年代,没有人真正在台式电脑上使用防病毒软件,这就是我们现在的处境。如今,只有四分之一的用户真正使用某种移动保护。25% 的设备完全没有受到保护,与台式机相比,为 85%,”Chiaraviglio 感叹道。
与此同时,移动威胁正在迅速升级。他们这样做的一种方法是生成如此多的不同迭代,以至于防病毒程序(通过其独特的签名来分析恶意软件)无法将一种感染与下一种感染关联起来。
根据 Chiaraviglio 的说法,在 2022 年首次发现时,野外的《教父》样本还不到 10 个。到去年年底,这个数字增加了一百倍。
其开发人员显然一直在为客户自动生成独特的样本,以帮助他们避免检测。 “他们可以只编写所有内容的脚本 – 这将是一种自动化方法。另一种方法是使用大型语言模型,因为代码辅助确实可以加快开发过程,”Chiaraviglio 说。
其他银行木马开发商也采用了相同的方法,但规模较小。 12 月,Zimperium 统计了 Godfather 的直接竞争对手Nexus的 498 个样本、 Saderat 的 300 个样本以及PixPirate的 123 个样本。
安全软件能跟上吗?
通过签名标记恶意软件的安全解决方案将很难跟踪每个系列的成百上千个样本。
Chiaraviglio 表示:“也许不同样本之间存在大量代码重用。”他建议自适应解决方案可以将相关恶意软件与不同签名相关联。或者,防御者可以使用人工智能 (AI) 来关注恶意软件的行为,而不是代码本身。 Chiaraviglio 说,有了可以做到这一点的模型,“无论你对代码或应用程序的外观进行多少更改,我们仍然能够检测到它。”
但是,他承认,“与此同时,这始终是一场竞赛。我们做一些事情[调整],然后攻击者做一些事情来进化到我们的预测。[例如],他们可以询问[一个大型语言模型]尽可能地改变他们的代码,这将是多态恶意软件的领域,这种情况在移动设备上并不常见,但我们可能会开始看到更多这种情况。”
发表评论
您还未登录,请先登录。
登录