银行木马 BankBot 感染谷歌应用商店160款应用

日前，趋势科技的研究人员发布安全报告称，Android 恶意软件 BankBot 目前已经成功感染了超过160款谷歌应用商店中的合法应用程序，该恶意软件的新变种主要瞄准27个国家银行机构展开攻击活动，其中全球有10家受害组织来自阿联酋地区。

一、BankBot 恶意软件的攻击手段分析

据悉，恶意软件 BankBot 在今年1月 时候浮出水面，主要使用虚假页面来覆盖真实的网页，达到欺骗那些毫不知情的用户输入账户登录凭证等敏感信息的目的，同时，该软件还能做到劫持用户SMS信息，从而逃过基于短信的双重身份验证的目的。

当用户设备中被安装并运行该恶意软件 BankBot 后，它就会自动检测受感染设备中是否存在银行应用安装包，如果设备中存在，该恶意软件就会连接到攻击者的 C&C 服务器，上传安装包的名称和标签，随后，服务器会向受感染应用发送恶意链接，下载含有覆盖页面的恶意文件库，存放在用户设备中便于攻击者后续使用。

不过，BankBot 恶意软件并不会直接在用户设备中显示虚假的覆盖页面，而是请求用户输入自己的电话号码等信息，然后，C&C 服务器会通过一个FireBase 邮件向目标受害者发送恶意链接，诱使不知情的用户进入指定页面，在该页面中输入自己的银行账户信息。

即便用户输入正确的银行账户信息，改虚假页面也会弹出一个 “ 错误页面 ”，要求受害者再次输入账户信息进行确认，目的就为了核实受害者输入的银行账户凭证信息是否正确，从而统计到受害者正确的银行信息，窃取资金。

二、BankBot 恶意软件可能存在针对性

安全研究人员在对该恶意软件进行分析时发现，其在针对阿联酋地区的银行应用程序时，变现会略有不同，因此该恶意软件 BankBot 可能存在针对性。

同时，安全研究人员近期再度发现了5款受感染的新型应用程序，其中一款由于比较受欢迎的应用下载量达到了5000-10000次。

据悉，BankBot 恶意软件的开发人员似乎正在尝试着使用新的技术操作来扩大目标攻击范围，同时最新版本的变种程序在虚拟环境中并不会运行，只有被安装到真实设备中才会正常运行。

这里笔者不得不提醒诸位安卓用户，下载安装软件时一定要选择可信任的下载来源，并对软件的权限进行仔细校验，防止黑客攻击导致财产受损！