反病毒軟件廠商Kaspersky實(shí)驗(yàn)室研究人員近日在Google Play上發(fā)現(xiàn)，幾個(gè)用來(lái)竊取移動(dòng)交易認(rèn)證碼(mTAN)的惡意安卓app被銀行通過(guò)短信服務(wù)(SMS)發(fā)給了用戶。

Kaspersky高級(jí)惡意軟件分析師Denis Maslennikov周五在博客中表示，這些app是由一個(gè)團(tuán)伙所創(chuàng)建，它們使用了各種Carberp銀行惡意軟件，目標(biāo)是幾個(gè)俄羅斯的銀行。

許多銀行使用mTAN作為一種安全手段，以保護(hù)在線銀行賬戶在交易中免遭網(wǎng)絡(luò)罪犯攻擊。當(dāng)交易從在線銀行賬戶發(fā)出時(shí)，銀行會(huì)通過(guò)短信服務(wù)信息將唯一的mTAN代碼發(fā)到賬戶擁有者的手機(jī)上。賬戶擁有者必須將該代碼輸入在線銀行網(wǎng)站，以便獲取交易許可。

為攻破這類防御，網(wǎng)絡(luò)罪犯創(chuàng)建了惡意移動(dòng)app，可自動(dòng)隱藏與目標(biāo)銀行相關(guān)號(hào)碼的短信服務(wù)信息，并悄悄將這些信息傳回他們的服務(wù)器。當(dāng)從一個(gè)受感染的計(jì)算機(jī)上訪問(wèn)銀行網(wǎng)站時(shí)，受害者會(huì)被騙下載并安裝這些app到手機(jī)上。

目前，SMS盜竊app已經(jīng)與Zeus和SpyEye銀行木馬程序一起使用，以Zeus-in-the-Mobile (ZitMo)和SpyEye-in-the-Mobile (SpitMo)聞名。然而，Maslennikov表示，流氓移動(dòng)組件被特別設(shè)計(jì)成Carberp惡意軟件，這還是第一次發(fā)現(xiàn)。

與Zeus和pyEye不同，Carberp木馬程序首先被用來(lái)攻擊在線銀行客戶，這些用戶來(lái)自俄羅斯及其他俄語(yǔ)國(guó)家，像烏克蘭、白俄羅斯或哈薩克斯坦。

7月份反病毒廠商ESET的一份報(bào)告顯示，俄羅斯當(dāng)局逮捕了三個(gè)最大的Carberp幕后操縱者。然而，該惡意軟件仍在繼續(xù)被其他團(tuán)伙使用，并且，依據(jù)不同版本和特征，它在地下市場(chǎng)以5000美元到4萬(wàn)美元的價(jià)格被出售。

ESET高級(jí)惡意軟件專家Aleksandr Matrosov周五表示，這是他們第一次看到來(lái)自Carberp團(tuán)伙的移動(dòng)惡意軟件。

Maslennikov說(shuō)，在Google Play上發(fā)現(xiàn)的這種新的Carberp-in-the-Mobile (CitMo) app 喬裝成正常的移動(dòng)app，這些app來(lái)自俄羅斯最大的兩個(gè)銀行——Sberbank和Alfa-Bank，以及使用最廣泛的社交網(wǎng)絡(luò)Vkontakte。

網(wǎng)絡(luò)罪犯上傳這些app到Google Play上，讓人對(duì)app市場(chǎng)反惡意軟件防御的效果產(chǎn)生質(zhì)疑，比如：谷歌今年早些時(shí)候公布的Bouncer反惡意軟件瀏覽器。

反病毒廠商Bitdefender高級(jí)電子威脅專家Bogdan Botezatu認(rèn)為，Google的Bouncer檢測(cè)ZitMo, SpitMo 或CitMo并不容易，因?yàn)樗麄儽旧砭椭皇轻槍?duì)一些合法app程序的。

他表示，SMS攔截及樣本代碼早有記載。如果同樣的樣本代碼被用于惡意軟件和合法app，那它就更被難檢測(cè)和阻斷了。