Banking Trojan是一种BankBot变种

冒充谷歌Play商店中的电话录音工具的恶意应用程序设法从欧洲的几个银行客户那里窃取了数千欧元。

该恶意软件被植入QRecorder应用程序，广告为自动呼叫和录音工具。在分析时，已下载超过10,000次。

安装后，恶意应用程序可以拦截文本消息并请求允许其界面覆盖其他应用程序。

这些功能允许它捕获用户通过SMS接收的双因素身份验证码，并控制用户在屏幕上看到的内容。

ESET安全研究员Lukas Stefanko表示，录音功能按预期工作，因此受害者没有理由怀疑是有害活动。

根据Stefanko的说法，运营商会在安装后的24小时内将其指令发送到应用程序，其中一个是扫描设备以查找特定的银行应用程序。

每当有针对性的银行应用程序启动时，特洛伊木马化QRecorder都会使用网络钓鱼屏幕覆盖它，该网页会收集登录凭据并将其传递给攻击者。

捷克电视台表示，该恶意软件的目标来自Raiffeisen银行以及捷克共和国两家最大银行的ČSOB和ČeskáSpořitelna。

Stefanko的分析显示，受监控的恶意软件的金融机构数量要大得多，其中Air Bank，Equa，ING，Bawag，Fio，Oberbank和Bank Austria也在名单上。

“基于应用程序和有效载荷中使用的语言突变，我可以说主要目标是德国，波兰和捷克银行。对于不同的银行应用，创建针对特定应用的不同有效负载。但是，我无法获得解密密钥并识别所有目标，“他说。

Banking Trojan是BankBot的变体

该恶意软件已被确定为Razdel，这是BankBot（Anubis I）移动银行特洛伊木马的一种变种，并不普及。

安全研究人员ThreatFabric分析了Razdel并发现其目标从一个运动转变为另一个运动，具体取决于其运营商所针对的地区。

它看起来像由至少两个受害者万个人次下载，损失约10,900欧元。

然而，ČeskáSpořitelna的FilipHrubý发言人告诉该出版物，该应用程序可能从其他受害者那里窃取了较少的金额。

他很快指出，该机构监控银行账户是否存在从Android手机发起的可疑传出交易，并在发生异常变化时提醒客户。

幸存的Google Play保护机制

Google Play中的银行特洛伊木马并非闻所未闻。Lukas 本月初报告了其中几个，而Avast的Nikolas Chrysaidos分享了有关分发此类恶意软件的广告系列的详细信息

ESET技术总监MiroslavDvořák表示，内部分析显示QRecorder最初是一个合法的应用程序，它解释了下载次数，并在上次更新中添加了恶意功能。

由ESET研究人员分析的恶意QRecorder应用程序不再出现在官方Android商店中。

下面的视频显示了特洛伊木马化QRecorder如何通过自己的登录屏幕覆盖合法银行应用程序的界面：