銀行木馬是一種“老而彌堅(jiān)”的惡意軟件，可竊取用戶(hù)的憑證和會(huì)話(huà)cookie來(lái)繞過(guò)雙因素認(rèn)證（2FA）保護(hù)，有時(shí)甚至能自動(dòng)執(zhí)行交易來(lái)竊取用戶(hù)的在線(xiàn)銀行帳戶(hù)資金。

根據(jù)移動(dòng)安全公司Zimperium最新發(fā)布的2023年度移動(dòng)安全報(bào)告，除了2023年新出現(xiàn)的10個(gè)安卓銀行木馬外，2022年流行的19個(gè)安卓銀行木馬在2023年也發(fā)生了“變異”，增加了新的功能并提高了操作復(fù)雜性。

銀行木馬的八個(gè)關(guān)鍵趨勢(shì)

通過(guò)對(duì)這29個(gè)銀行木馬的追蹤分析，Zimperium發(fā)現(xiàn)2023年移動(dòng)惡意軟件威脅呈現(xiàn)以下八個(gè)趨勢(shì)：

• 銀行木馬的八個(gè)關(guān)鍵趨勢(shì)添加自動(dòng)轉(zhuǎn)賬系統(tǒng)(ATS)，用于捕獲MFA代幣、發(fā)起交易并執(zhí)行資金轉(zhuǎn)賬。
• 銀行木馬的八個(gè)關(guān)鍵趨勢(shì)基于電話(huà)的攻擊交付（TOAD）：結(jié)合社會(huì)工程攻擊，例如網(wǎng)絡(luò)犯罪分子會(huì)冒充客戶(hù)支持代理，引導(dǎo)受害者自行下載木馬有效負(fù)載。
• 添加實(shí)時(shí)屏幕共享功能，無(wú)需物理訪(fǎng)問(wèn)即可遠(yuǎn)程控制受害者的設(shè)備。
• 使用域名生成算法（DGA）：繞過(guò)黑名單過(guò)濾。
• 惡意軟件即服務(wù)（MaaS）：以每月3000至7000美元的價(jià)格向其他網(wǎng)絡(luò)犯罪分子提供訂閱包中的惡意軟件。
• 標(biāo)準(zhǔn)功能完善。受調(diào)查的大多數(shù)木馬提供了包括鍵盤(pán)記錄、網(wǎng)絡(luò)釣魚(yú)頁(yè)面和短信竊取等“標(biāo)準(zhǔn)功能”。
• 代碼開(kāi)源。惡意軟件代碼開(kāi)源導(dǎo)致迭代加快，使基于簽名的殺毒軟件失效。
• 開(kāi)始竊取數(shù)據(jù)。一個(gè)令人擔(dān)憂(yōu)的發(fā)展趨勢(shì)是，銀行木馬不再僅僅竊取銀行憑證和資金，現(xiàn)在還開(kāi)始瞄準(zhǔn)社交媒體、消息和個(gè)人隱私數(shù)據(jù)。

十大新興安卓銀行木馬

報(bào)告重點(diǎn)分析了2023年誕生的十大新興銀行木馬家族（其中包含超過(guò)2100個(gè)在野外傳播的變種），這些木馬偽裝成特殊實(shí)用程序、生產(chǎn)力應(yīng)用程序、娛樂(lè)門(mén)戶(hù)、攝影工具、游戲和教育輔助工具等，在安卓應(yīng)用生態(tài)和分發(fā)渠道中廣為傳播。

根據(jù)攻擊目標(biāo)的數(shù)量來(lái)看，Hook、Godfather和Teabot是2023年最具影響力的三大銀行惡意軟件。

傳統(tǒng)銀行應(yīng)用程序仍然是銀行木馬主要目標(biāo)，受感染的應(yīng)用程序數(shù)量達(dá)到驚人的1103個(gè)，占1800個(gè)目標(biāo)的61%，而新興的金融科技和交易應(yīng)用程序則占剩余的39%。

以下是這十個(gè)新木馬的統(tǒng)計(jì)列表：

• Nexus：MaaS（惡意軟件即服務(wù)）模式，有498種變體，提供實(shí)時(shí)屏幕共享，針對(duì)9個(gè)國(guó)家/地區(qū)的39個(gè)應(yīng)用。
• Godfather：MaaS模式。有1171種已知變體，針對(duì)57個(gè)國(guó)家/地區(qū)的237個(gè)銀行應(yīng)用。支持遠(yuǎn)程屏幕共享。
• Pixpirate：有123個(gè)已知變體，由ATS模塊驅(qū)動(dòng)，針對(duì)10個(gè)銀行應(yīng)用程序。
• Saderat：有300個(gè)變體，針對(duì)23個(gè)國(guó)家/地區(qū)的8個(gè)銀行應(yīng)用程序。
• Hook：MaaS模式。有14種已知變體，支持實(shí)時(shí)屏幕共享。其攻擊目標(biāo)覆蓋43個(gè)國(guó)家/地區(qū)的468個(gè)應(yīng)用程序，并以每月7000美元的價(jià)格租給網(wǎng)絡(luò)犯罪分子。
• PixBankBot：有三個(gè)已知變體，針對(duì)4個(gè)銀行應(yīng)用程序。配備了用于設(shè)備上欺詐的ATS模塊。
• Xenomorphv3：MaaS模式。有能夠執(zhí)行ATS操作的六種變體，針對(duì)14個(gè)國(guó)家/地區(qū)的83個(gè)銀行應(yīng)用。
• Vultur：有9個(gè)變體，針對(duì)15個(gè)國(guó)家/地區(qū)的122個(gè)銀行應(yīng)用程序。
• BrasDex：針對(duì)巴西8個(gè)銀行應(yīng)用程序的木馬。
• GoatRat：有52個(gè)已知變體，由ATS模塊驅(qū)動(dòng)，針對(duì)6個(gè)銀行應(yīng)用程序。

此外，還有很多2022年開(kāi)始流行并在2023年完成更新的惡意軟件家族，其中依然保持活躍的家族包括Teabot、Exobot、Mysterybot、Medusa、Cabossous、Anubis和Coper。

在安卓銀行木馬攻擊的國(guó)家/地區(qū)統(tǒng)計(jì)中，排名第一的是美國(guó)（109個(gè)目標(biāo)銀行應(yīng)用程序），其次是英國(guó)（48個(gè)銀行應(yīng)用程序）、意大利（44個(gè)應(yīng)用程序）、澳大利亞（34）、土耳其（32個(gè)）、法國(guó)（30）、西班牙（29）、葡萄牙（27）、德國(guó)（23）和加拿大（17）。

三大緩解措施

報(bào)告指出，2023年銀行木馬給金融企業(yè)造成的經(jīng)濟(jì)損失和運(yùn)營(yíng)成本持續(xù)增加，同時(shí)導(dǎo)致消費(fèi)者信任度和品牌影響力下降。金融機(jī)構(gòu)應(yīng)該采取主動(dòng)和自適應(yīng)安全方法應(yīng)對(duì)不斷增長(zhǎng)的威脅，并重點(diǎn)實(shí)施以下三大緩解措施：

• 確保安全措施與威脅的復(fù)雜程度相匹配：使用先進(jìn)的代碼保護(hù)技術(shù)提升攻擊應(yīng)用程序所需的成本和精力，使其超過(guò)攻擊者的潛在收益。
• 實(shí)現(xiàn)運(yùn)行時(shí)可見(jiàn)性以進(jìn)行全面的威脅監(jiān)控和建模：移動(dòng)應(yīng)用安全領(lǐng)導(dǎo)者必須實(shí)現(xiàn)跨各種威脅媒介（包括設(shè)備、網(wǎng)絡(luò)、應(yīng)用程序和網(wǎng)絡(luò)釣魚(yú)）的運(yùn)行時(shí)可見(jiàn)性。這種實(shí)時(shí)洞察力可以主動(dòng)識(shí)別和報(bào)告風(fēng)險(xiǎn)、威脅和攻擊。
• 部署設(shè)備上保護(hù)以實(shí)現(xiàn)實(shí)時(shí)威脅響應(yīng)：移動(dòng)應(yīng)用安全領(lǐng)導(dǎo)者應(yīng)優(yōu)先實(shí)施設(shè)備上保護(hù)機(jī)制，使移動(dòng)應(yīng)用能夠在檢測(cè)到威脅時(shí)立即采取行動(dòng)。這種能力應(yīng)該是自主的，不需要依賴(lài)網(wǎng)絡(luò)連接或后端服務(wù)器通信。

對(duì)于個(gè)人用戶(hù)來(lái)說(shuō)，防范安卓手機(jī)銀行木馬的關(guān)鍵措施是：避免從非官方應(yīng)用商店下載應(yīng)用；在應(yīng)用安裝過(guò)程中密切注意權(quán)限請(qǐng)求，切勿授予對(duì)“輔助功能服務(wù)”的訪(fǎng)問(wèn)權(quán)限；避免點(diǎn)擊來(lái)路不明的短信或郵件中的（應(yīng)用下載）鏈接。