安卓恶意软件又想出一个掩人耳目的好方法:先修改用户的智能手机密码,然后锁定手机,好让自己在清空用户银行账户时让用户无暇他顾。
这款恶意软件的首个版本出现于2015年12月份,不过由于目标用户数量少基本没有怎么出现在大众视野。随后这款名为Fanta SDK的安卓恶意软件的功能开始增强,不过其行动方式依然没变。
发送虚假银行通知邮件传播恶意app
发现该恶意软件的趋势科技公司表示犯罪分子使用垃圾邮件来传播带有恶意软件的应用程序。首先,用户会收到一份关于银行app最近发布了安全更新的邮 件。目前这款app仅针对俄罗斯银行的用户。如果用户安装了此类app,接着就会通过邮件中提到的链接下载所谓的已更新app。建议用户要通过谷歌应用商 店而不是手动下载所更新的移动银行app。
要求获取管理员权限
用户下载并安装所谓的已更新app后,会被要求授予管理员权限。安全专家表示用户不应该将管理员权限交给任何可疑的app。获得管理员权限后,恶意 app就会等待用户开启目标银行的移动app。这时候它会显示一个弹出消息来钓取用户的银行凭证,随后将用户重定向至合法app。接着就会将凭证发送到会 进行欺诈交易行为的命令和控制服务器。
更改用户PIN
如果用户拒绝安装这款恶意app,或者察觉一些可疑行为决定卸载时,Fanta SDK就会启动自我保护程序,自动设定一个随机智能手机PIN并锁定用户设备。这时,这款恶意软件就会开始利用用户银行账户。而当用户终于找到解锁手机的 方法(通常是通过重刷)后,几天或者几周的时间已然过去。这款恶意软件随后就会有机会清空用户账户,如果用户没有察觉到任何异常或者没有及时跟银行沟通。
扩大恶意行动
研究人员将这款app的主服务器跟其它恶意行动如传播Cridex、Ramnit和ZBOT银行木马的恶意行动的基础架构联系在一起。安全专家表 示,这款app的行为跟此前一个实施“Operation Emmental”行为的犯罪团伙有关,该团伙曾从位于瑞士、瑞典和奥地利的银行窃取钱财。该组织被认为来自俄罗斯。
