新型银行木马Anubis来袭

2018-09-10 11:02宋明成
计算机与网络 2018年8期
关键词:勒索木马受害者

宋明成

根据网络安全公司PhishLabs的说法,他们在近日发现了银行木马BankBot的一个新变种,正通过伪装成合法应用Adobe Flash Player、Avito和HD Video Player进行传播。

PhishLabs表示,被命名为“Anubis”的新变种将移动威胁提升到了一个新的层次。它将原本分属于众多不同类型恶意软件的功能集合在了一身,这包括勒索软件(Ransomware)功能、键盘记录(keylogger)功能、远程访问特木马(RAT)功能、短信拦截功能、呼叫转移和锁定屏幕功能。

在Anubis之前,LokiBot是第一个整合了勒索软件功能的Android银行木马。而现在,Anubis的出现意味着BankBot背后的开发人员正在进一步提高其代码质量。

Anubis的配置存储在名为“set.xml”的文件中,有幾个条目与新的勒索软件功能相关。比如“htmllocker”,它会在恶意应用安装成功后提供实现锁定屏幕功能的HTML代码。这种功能很容易让我们联想到其他锁定屏幕的勒索软件,但它们只是简单地禁止受害者访问手机界面,而Anubis则是真正的实现了勒索软件功能。它的加密模块会使用256位对称密钥加密文件,并为被加密的文件附加扩展名. AnubisCrypt。

除了上述的勒索软件功能外,Anubis还实现了远程访问特木马功能。通过RAT服务提供的命令包括开放目录、下载文件、删除文件和文件夹、启动和停止VNC以及停止和开始录音。该功能允许攻击者直接操纵文件系统并监控受害者的活动。另外,Anubis也实现了键盘记录功能,包括日志文件的名称。记录声音和记录击键的能力使得Anubis既强大又极具侵略性。

尽管Anubis整合了众多新功能,但由于它是基于BankBot源代码开发的,因此它仍然是一个银行木马。如同大多数Android银行木马一样,Anubis会监视目标应用程序的启动,然后使用对应的钓鱼屏幕覆盖合法应用程序以窃取受害者的凭证。最后,它同样会使用其短信拦截功能来拦截银行发送的任何后续安全代码。

PhishLabs表示,他们在全球范围内共发现了275个不同的应用携带有Anubis,其中包括了29个涉及与加密货币相关的应用。根据样本命令和控制(C&C)服务器的域名显示,它们大多数都是从日本、摩尔多瓦和法国注册的,基础设施则托管在位于乌克兰、德国和荷兰的服务器上。

猜你喜欢
勒索木马受害者
骑木马
情绪勒索:警惕以爱之名的伤害
遭遇勒索
勒索
消灭木马等
小木马
短文改错