背景

來自安全公司Dr.Web的研究人員說,最近一個未命名的Android銀行木馬源代碼在地下黑客論壇遭到了泄露。就在近期,阿里聚安全檢測到大量新型BankBot家族木馬,木馬偽裝成Good Weather、Flash Plаyеr、Play Мa(chǎn)pкeт、follon.weather等應(yīng)用,可劫持全球至少50家大型銀行手機(jī)用戶。

特點(diǎn):新型BankBot木馬配置靈活,執(zhí)行開關(guān)受服務(wù)端控制;根據(jù)C&C端下發(fā)的指令進(jìn)行遠(yuǎn)程控制;竊取用戶隱私,對全球多家金融類app劫持,釣魚登錄界面,進(jìn)而截獲、捕捉用戶輸入數(shù)據(jù),最終非法入侵用戶互聯(lián)網(wǎng)賬戶系統(tǒng)。

木馬運(yùn)行流程如下:

是否觸發(fā)惡意代碼

BankBot木馬啟動后會請求C&C端,判斷是否執(zhí)行惡意代碼,若服務(wù)端返回非“0”則執(zhí)行惡意代碼。