顶级Android银行木马的源代码已经在线泄露,并且已经在恶意软件社区中迅速传播,令研究人员担心新一波恶意软件活动可能正在进行中。
这个恶意软件的名字是Exobot,这是一种Android银行木马,于2016年底首次发现,其作者在今年1月将其源代码放置出售。
在日常运营中,恶意软件作者会在安全研究人员称之为MaaS(恶意软件即服务)或CaaS(网络犯罪即服务)的过程中,每月或每周访问其恶意软件。
但是,当恶意软件作者销售恶意软件的整个源代码时,这通常意味着恶意软件作者正在转向其他项目,并且不再想要对其进行处理。通常有足够的人购买之后,该源代码会在线泄漏。
这种情况在过去多次发生过各种各样的恶意软件上,并且它也发生在Exobot上,就像上个月,Bleeping Computer从一个不知名的人那里收到了这个源代码的副本。
Bleeping Computer已与ESET和ThreatFabric的安全研究人员共享此源代码并验证其真实性。
该代码被证明是Exobot银行木马的2.5版,也被称为“特朗普版”,这是Exobot在其原作者放弃其开发之前的最后版本。
来自ThreatFabric的安全研究人员告诉Bleeping Computer,称我们收到的Exobot木马源代码实际上已于5月在线泄露,当时从原作者那里购买它的一位用户决定与社区分享。
从那以后,Bleeping Computer发现Exobot源代码正在很多地下黑客论坛上发布。
安全研究人员现在担心代码的扩散可能导致恶意软件活动激增,这将影响感染此特洛伊木马的恶意Android应用程序。
但这些不仅仅是“恐吓”安全研究人员的警告。以前的确发生过这样的事情。
2016年12月,BankBot Android银行木马的源代码在网上泄露,导致大规模爆发的恶意软件活动在2017年传播该木马。
BankBot代码的可用性降低了恶意软件作者进入Android恶意软件场景的入门门槛和财务成本。现在,随着Exobot以同样的方式共享,安全研究人员正准备迎接类似的入侵行为。
安全研究员兼ThreatFabric发言人Cengiz Han Sahin 表示,Exobot是一种非常强大的银行木马,甚至可以感染运行最新Android版本的智能手机,这是极少数特洛伊木马可以做到的。
“所有威胁一直致力于定时注入(叠加攻击),以便在Android 7,8甚至9上工作,”Sahin说。“然而,Exobot确实是新的东西。
“该木马获取了前台应用程序的软件包名称,而不需要任何额外的权限,”他说,“这虽然很少发生,但在大多数情况下都有效。”
“这里有趣的部分是不需要Android权限,”Sahin补充道。“所有其他Android银行木马家族都使用Accessibility ore Use Stats权限来实现相同目标,因此需要用户与受害者进行互动。”
因此,不仅Exobot的源代码可以自由访问,而且它非常有效,就像BankBot代码在2016年被泄露时的顶级代码一样。在接下来的几个月里,我们可能会看到Android恶意软件开发者慢慢从BankBot迁移到Exobot的广告系列,很少会拒绝“免费升级”而得到更好的代码。
领取专属 10元无门槛券
私享最新 技术干货