安卓銀行木馬新增「keylogger」功能，攻擊能力倍增

網路犯罪者們在實施犯罪時，已經變得越來越熟練，攻擊也越來越隱秘，攻擊方式也越來越新穎。現如今，他們正在慢慢的從傳統攻擊方式向隱秘性攻擊技術轉變，需要的攻擊載體越來越少，攻擊更難被檢測。

上個月中旬，卡巴斯基實驗室高級惡意軟體分析師RomanUnuchek發現，著名的安卓銀行木馬Svpeng利用了安卓

Accessibility Services（輔助功能）的優勢，新增加了鍵盤記錄功能，也就是說攻擊者通過受害者敲擊輸入框的情況就能竊取敏感信息了。

木馬利用Accessibility Services增加鍵盤記錄功能

首先來簡單描述下什麼是Accessibility Services（輔助功能）。Accessibility Services是安卓專門為那些聽力、視力或者其它身體原因導致無法正常使用手機的用戶增加的一個功能，Accessibility Services支持文字轉語音(不支持中文)、觸覺反饋、手勢操作、軌跡球和手柄操作等，除此之外，開發者還可以自定義一些功能，目的都是為了更方便快捷的使用安卓設備。

其次，我們再來聊聊這次銀行木馬新增加的功能。Svpeng增加了鍵盤記錄功能後，不僅可以竊取通過設備已安裝軟體輸入的文本信息（包括登錄信息，搜索文本），還能給自己增加更多的許可權，以防止受害者拒絕安裝木馬。

一個月前，安全研究員還發現了另外一起利用Accessibility Services的攻擊，叫做Cloak&Dagger攻擊。攻擊者可以悄悄獲得設備的完全控制許可權，從而竊取敏感數據。

俄羅斯人擁有天然的防護衣

儘管這一新變種的木馬還沒有廣泛傳播起來，但是一周時間內，它已經出現在23個國家，包括俄羅斯、德國、土耳其、波蘭、發過。值得一提的是，目前為止大部分受害者均來自俄羅斯，但是攻擊者並沒有對這些俄羅斯受害者實施實質性的攻擊。

Unuchek解釋到，Svpeng感染設備後，首先檢查的是設備語言。如果設備語言為俄語，木馬就會停止進一步的攻擊。所以以此推斷，Svpeng幕後的攻擊者為俄羅斯人，害怕觸犯俄羅斯法律，所以不願意進一步攻擊俄羅斯受害者。

Svpeng是怎麼展開攻擊的呢？

上個月，Unuchek發現Svpeng是通過偽裝成Flash Player進行傳播。一旦在受害者設備上安裝成功，Svpeng首先會檢測設備語言，如果語言會俄語，則停止攻擊；如果語言不是俄語，則會利用Accessibility Services展開攻擊。

藉助於Accessibility Services，木馬可以把自己的許可權提升至管理員許可權，然後偽裝成合法應用。Svpeng還可以給自己增加更多的許可權，比如撥打電話、發送接收簡訊、讀取通訊錄。更為可怕的是，受害者即使發現了端倪也無法取消其管理員許可權。

Svpeng獲得許可權之後，便可竊取在設備上輸入的文本信息，甚至還可以實施截屏操作。隨後這些信息會被上傳至攻擊者的C&C伺服器上，Unuchek成功攔截了其中一個加密文件。解密文件發現了Svpeng眾多攻擊對象，比如英國、德國、土耳其、澳大利亞、法國、波蘭、新加坡等地的銀行、PayPal、eBay。該文件允許惡意軟體執行各種操作，比如發送簡訊，收集通訊錄信息、安裝軟體信息、通話記錄、通信記錄。

怎樣保護自己的手機不被黑客攻破？

Svpeng非常狡猾，即便用戶已經將自己的手機更新至最新系統，但是它依然可以保留在用戶手機上。所以作者給出了如下建議幫助用戶免受攻擊：

1. 所有的軟體都要從可信任來源處下載，比如Google Play，Apple App

2. 在安裝軟體之前，確認軟體是否會獲取你的敏感信息

3. 不連接不安全的WIFI熱點

4. 不點擊簡訊、彩信、郵件中的鏈接

5. 安裝有用的殺毒軟體

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！