McAfee 实验室发现了一种针对印度用户的新型安卓银行木马,该木马利用印度用户对实用程序和银行应用程序的依赖性来窃取敏感的金融信息。这个被检测为Android/Banker的复杂恶意软件已经感染了419台设备,截获了4918条短信,并窃取了623条银行卡和银行相关信息,预计随着活动的发展,数量还会增加。
该恶意软件伪装成实用程序和银行应用程序,通过网络钓鱼活动诱骗用户下载恶意 APK,通常通过 WhatsApp 等平台传播。McAfee解释说:“这种恶意软件伪装成基本服务,如公用事业(如煤气或电力)或银行应用程序,以获取用户的敏感信息”。其中一个变种甚至使用了印度流行的支付平台 PayRup 的徽标,以显示其合法性。
一旦安装,该应用程序:
- 请求访问短信等个人数据的权限。
- 以付款为幌子,提示用户输入财务信息。
- 将窃取的数据发送到命令与控制(C2)服务器,同时显示虚假的 “支付失败 ”消息以维持骗局。
该恶意软件采用了几种先进的策略来逃避检测并最大限度地扩大影响:
- 隐藏应用程序图标:通过在代码中省略 “android.intent.category.LAUNCHER ”属性,应用程序的图标不会出现在用户的启动器上,使其在安装后更难识别。
- 通过 Supabase 进行数据渗透: 该恶意软件独特地使用 Supabase(一种开源的后台即服务)来存储窃取的数据。McAfee 调查人员在恶意软件的 Supabase 数据库中发现了 5,558 条记录,其中包括敏感的财务数据,这些数据是通过应用程序代码中暴露的 JSON 网络令牌 (JWT) 访问的。
印度作为 WhatsApp 最大的用户群,使其成为网络钓鱼的主要目标。该木马利用 WhatsApp 消息引诱受害者安装旨在模仿主要金融和公用事业提供商服务的虚假应用程序,例如:
- Axis Bank (ax_17.customer)
- 旁遮普国家银行 (pnb_5.customer)
- 煤气和电费支付 (gs_5.customer, elect_5.customer)
McAfee 发现,每个诈骗主题都会产生多个变种,从而扩大了恶意软件的影响范围,并使检测工作变得更加复杂。
与以往的恶意软件活动不同,该木马包含一个管理其 C2 基础设施的移动应用程序,允许操作员直接从其设备发送命令。这一功能使攻击者能够转发截获的短信并管理窃取的数据。