恶意软件的攻击威胁着数字金融平台和在线存储库。

网络安全研究人员发现了四个活跃的 Android 恶意软件系列，针对超过 800 个应用程序，包括加密货币钱包和银行应用程序。这些恶意软件使用大多数传统安全工具无法检测的方法。

Zimperium 的 zLabs 团队发布了对 RecruitRat、SaferRat、Astrinox 和 Massiv 木马的跟踪结果。

根据该公司的研究，每个家庭都有自己的命令和控制网络，用于窃取登录信息、接管金融交易并从受感染的设备获取用户数据。

加密货币和银行应用程序面临多种恶意软件的新威胁

这些恶意软件家族对任何在 Android 上管理加密货币的人来说都是直接威胁。

一旦安装，木马就可以在真正的加密货币和银行应用程序之上放置虚假的登录屏幕，实时窃取密码和其他私人信息。然后，该恶意软件会在真实的应用程序界面上放置一个虚假的 HTML 页面，形成该公司所说的“极具说服力的欺骗性外观”。

Zimperium 的安全研究人员写道：“恶意软件利用辅助功能服务来监控前台，检测到受害者启动金融应用程序的确切时刻。”

根据该报告，木马的功能不仅仅是窃取凭据。他们还可以捕获一次性密码，将设备的屏幕流式传输给攻击者，隐藏自己的应用程序图标，并阻止人们卸载它们。

每个活动都使用不同的诱饵来让人们上当。

SaferRat 通过使用承诺免费访问优质流媒体服务的虚假网站进行传播。 RecruitRat 在求职过程中隐藏其有效负载，将目标发送到钓鱼网站，要求他们下载恶意 APK 文件。

Astrinox 使用相同类型的基于招募的方法，使用域 xhire[.]cc。根据访问该网站所使用的设备，它会显示不同的内容。

Android 用户被要求下载 APK，iOS 用户看到的页面看起来像 Apple App Store。然而，安全研究人员没有发现任何证据表明 iOS 确实遭到黑客攻击。

无法确认 Massiv 在研究周期中是如何分布的。

所有四个木马都使用网络钓鱼基础设施、短信诈骗和社会工程，利用人们快速采取行动的需要或好奇心，让他们侧载有害的应用程序。

加密恶意软件逃避检测

这些活动旨在绕过安全工具。

研究人员发现，恶意软件家族使用先进的反分析技术和对 Android 应用程序包 (APK) 进行结构性篡改，以保持该公司所谓的“针对传统基于签名的安全机制的近乎零检测率”。

网络通信也与常规流量混合在一起。木马使用 HTTPS 和 WebSocket 连接与其命令服务器通信。某些版本在这些连接之上添加了额外的加密层。

还有一个重要的事情就是坚持。现代 Android 银行木马不再使用简单的一阶段感染。相反，他们使用多阶段安装过程，旨在绕过 Android 不断变化的权限模型，这使得应用程序在没有用户明确许可的情况下更难执行操作。

该报告没有指出 800 多个目标应用程序中的特定加密钱包或交易所。但由于覆盖攻击、密码拦截和屏幕流式传输，如果用户从 Google Play 商店外部安装恶意 APK，任何基于 Android 的加密应用程序都可能面临风险。

从短信、招聘信息或促销网站中的链接下载应用程序仍然是移动恶意软件进入智能手机的保证方法之一。