针对 Google Play 的银行木马攻击新趋势

文章重点

最近，银行木马的变种DawDropper在谷歌应用商店现身，显示出这类金融木马的威胁可在多个平台中出现。根据Trend Micro的研究，这种恶意软体使用著名的“droppers”来传播其恶意载荷，专注于金融机构。

Trend Micro指出，今年恶意行为者通过这种方式偷偷地将越来越多的银行木马添加进Google Play商店，证明这种技术在避开检测方面有效。此外，由于对新颖的移动恶意软体分发方式的需求上升，许多恶意行为者宣称他们的droppers可以帮助其他网路犯罪者在商店中散布恶意软体，因此形成了DropperasaService (DaaS)的商业模式。

DawDropper的发展历程

这一新型的木马变体是从去年底开始被发现的，逐渐渗透到各种Android应用程序中。虽然这些日益增长的“droppers”攻击似乎新颖，但其中一些行为却是较为传统的手段。

James McQuiggan，KnowBe4的安全意识倡导者表示：“在Google商店中，通过常见的生产力应用隐藏恶意软体并不是新鲜事。”“真正的新意在于，一些第三方系统会在应用被下载后添加恶意软体，”他补充道。这使得网路犯罪分子不断演变，克服反恶意软体监测的技术和人为防火墙。

Trend Micro回顾了DawDropper的整体发展历史，发现了包括Octo、Hydra、Ermac 和 TeaBot在内的四种银行木马。同时所有的DawDropper变种均利用Firebase Realtime Database作为指挥与控制服务器，并在GitHub上承载恶意载荷。

尽管这些银行droppers主要的目标都是在受害者的设备上分发和安装恶意软体，但Trend Micro的分析显示，这些银行droppers在实施恶意例程上却存在显著的差异。例如，今年早些时候推出的银行droppers “有硬编码的载荷下载地址”。

最近推出的银行droppers则更倾向于隐藏实际的载荷下载地址，有时会使用第三方服务作为其指挥与控制服务器，并利用GitHub等第三方服务承载其恶意载荷。

McQuiggan 强调：“金融行业因守护金钱而持续受到攻击。” 网路犯罪者发现，针对用户进行攻击更为容易，通常会窃取用户的凭证，然后通过社交工程进行诈骗。

Trend Micro表示，网路犯罪者不断寻找方法“逃避检测，尽可能多地感染设备”。他们预测，银行木马的技术例程将持续进化，在未来的半年内将关注如何隐藏恶意载荷于droppers中。随著更多银行木马通过DaaS可用，恶意行为者将有更简单且具成本效益的方式来分散伪装成合法应用的恶意软体。

Trend Micro预测这一趋势将持续下去，越