木马Faketoken更新:利用屏幕重叠窃取银行信息

日前，卡巴斯基实验室是的安全研究人员发现了一个名为Faketoken的安卓银行木马的新版本，它能够检测并记录受感染的设备，利用屏幕重叠覆盖的方式来盗取用户的银行信息。

一、手机银行木马Faketoken更新，利用屏幕重叠窃取银行信息

目前，这个被称之为Faketoken.q的银行木马新版本，正在以群发垃圾短信的方式向大量的安卓用户进行分发，提示用户下载恶意软件的图像文件。

一旦用户对此类垃圾短信信以为真，将其下载到手机端后，该恶意软件将会安装其必要的模块和主要的payload，并隐藏其快捷方式，开始监控和感染Android设备以及呼叫到的应用程序上的所有内容。

当受害者设备上有某些电话号码进行呼出或者拨入时，Faketoken.q恶意程序新版本就会自动开始记录这些对话，并将记录的内容发送到攻击者分服务器中，同时，该恶意软件还能自动检测用户设备持有者目前当前正在使用的应用程序，当检测到可以模拟的界面时，就会使用假的用户界面对当前应用程序的操作界面进行立即覆盖，比如说在出租车预定程序上直接覆盖真实的界面，达到窃取银行信息的目的。

为了达到覆盖用户设备上某些应用程序操作页面的目的，该木马病毒使用了合法的应用程序（如Facebook Messenger，窗口管理器和其他应用程序），并使用了标准的Android功能，从而实现了在所有其他应用程序之上显示屏幕叠加的目的。

二、Faketoken银行木马新版本是如何运作的

当Faketoken银行木马的新版本模拟并覆盖到用户的其他应用程序界面后，被模拟出的假的操作界面就会提示用户输入银行卡隐私数据，甚至是银行验证码，从而为攻击者未来发起钓鱼攻击提供便利。

据了解，目前该恶意木马病毒能够覆盖大量的手机银行应用程序和其他的一些应用程序，比如说Android Pay、支付交通票的应用程序、预订航班和酒店客房的应用程序、预订出租车的应用程序。

由于攻击者需要银行发送的SMS作为授权交易代码，因此该恶意程序能够窃取传入设备的SMS消息代码，并将其转发给攻击者用以指挥和控制的服务器发动攻击。

不过，值得庆幸的是，该银行木马的用户界面上允许使用俄语，这就意味着该木马主要的设计目的其实是针对那些说俄语的用户，因此国内用户不必太过担心。

三、如何防止Faketoken银行木马新版本

前文提到了，该恶意木马病毒主要的传播渠道是群发垃圾短息，当然，垃圾邮件和和第三方应用商店也可能成为其传播渠道之一。

因此，想要避免遭遇Faketoken银行木马新版本的攻击，就必须从安全渠道下载应用，并对这些程序的权限进行验证。