一种名为GhostGrab的复杂Android银行木马已出现在威胁领域,它针对多个地区的金融机构,具备高级凭证窃取能力。
该恶意软件在受感染设备上静默运行,窃取敏感银行凭证,同时通过短信拦截一次性密码(OTP)。
安全团队观察到,活跃的攻击活动通过受感染的应用商店和恶意广告分发GhostGrab,引发了对移动银行威胁不断升级的复杂性的担忧。
GhostGrab采用多层感染策略,首先通过社会工程战术(通常伪装成合法的 productivity 应用或系统工具)诱骗用户安装。
一旦安装,恶意软件会以标准应用功能为幌子请求广泛权限,包括辅助功能服务、短信访问权和悬浮窗权限。
这些特权使木马能够监控用户活动、捕获屏幕内容并拦截认证消息,而不会立即引起受害者怀疑。
Cyfirma研究人员在常规威胁情报操作中发现了该恶意软件,并指出其采用精细化手段规避主流银行机构部署的检测机制。
该木马展现出高级反分析能力,包括模拟器检测和调试器检查——当检测到研究环境时,会终止执行。
分析显示,GhostGrab通过加密通道维持命令与控制(C2)通信,接收指定目标银行应用和数据泄露协议的更新配置文件。
恶意软件的影响不止于单个账户被盗:威胁行为者利用窃取的凭证进行未授权资金转移和欺诈交易。
金融机构报告称,与GhostGrab感染相关的账户接管事件有所增加,促使银行加强监控协议并发布客户安全公告。
技术架构与数据泄露方法
GhostGrab实施复杂的悬浮窗攻击机制,在合法银行应用之上显示高度逼真的钓鱼界面。
当受害者启动目标金融应用时,恶意软件会动态生成与登录界面像素级一致的复制品,在用户输入时捕获凭证。
木马通过注册的广播接收器监控传入短信,筛选符合常见OTP格式的认证码。
提取的凭证和OTP码在传输到远程服务器前会立即使用AES-256加密,最大限度减少被网络监控工具检测的风险。
恶意软件通过系统启动接收器和前台服务维持持久性,确保设备重启或应用终止后核心组件能重新启动。
发表评论
您还未登录,请先登录。
登录