近日,安全专家截获了会窃取使用者登录帐密和信用卡数据的银行木马Ginp。值得关注的是,该银行木马竟使用了因网络间谍活动而恶名昭彰的Anubis的部分代码。亚信安全提醒,近期针对金融领域的恶意攻击日益猖獗,个人与企业需要提升安全防护意识,采用有效的安全防护措施,以避免被不法分子找到可乘之机。
在受害设备上执行后,Ginp会移除自己的图标,接着向使用者要求无障碍服务权限。一旦取得权限,它会给予自己传送信息和拨打电话的权限。
Ginp可以根据接收到的命令来发送或收集短信,还可以要求管理员权限、启用覆盖攻击、更新命令和控制(C&C)网址、更新目标列表、将自己设成预设的短信应用程序、防止使用者停用无障碍服务、获取已安装的应用程序或联络人列表、启用来电转接、隐藏自己并防止删除等功能。值得注意的是,Ginp会诱骗受害者提供登录帐密和信用卡数据,声称这些信息是用来验证使用者身份。
在第一版中,Ginp伪装成Google Play验证程序,主要是会窃取短信。在八月,它伪装成Adobe Flash Player来针对信用卡信息。下一代版本加强了恶意文件混淆技术,并开始针对Snapchat和Viber使用者及特定的银行应用程序。
之后,Ginp作者从Anubis恶意软件借用了代码,该恶意软件原始码在今年早些时候流出。这个版本值得注意的是,切换成了新的覆盖攻击目标列表,主要针对银行应用程序使用者。几个月前,安全专家发现了同类型的Anubis变种,该变种会针对188个银行及金融相关应用程序。
而最新版本的Ginp进行了少许修改,包括关于下载模块的新端点以及从Anubis借用的代码片段。这一版本的Ginp针对24个不同西班牙银行应用程序的使用者。
Ginp使用欺骗性的屏幕覆盖攻击来窃取登入帐密和信用卡数据,这提醒了使用者在安装应用程序时要保持小心警慎。使用户应该只从官方来源下载应用程序,来最大程度地减少下载到恶意应用程序的机会。个人和企业也可以利用多层次的安全解决方案来保护移动设备。
近期,安全研究人员发现恶名昭彰的EMOTET银行木马异常活跃,除突袭欧洲诸国的“多语种版本”外,还爆出利用前美国中央情报局职员爱德华·斯诺登(Edward Snowden)的热门回忆录来进行快速传播。
【豆瓣读书截图】
在本季度,亚信安全还截获了针对中国、加拿大和印度发动的垃圾邮件攻击活动,此次攻击活动主要目的是传播 Trickbot 银行木马。该木马除了盗窃用户信息外,还会删除可移动磁盘和网络驱动器中的特定扩展名文件,使用病毒副本代替这些文件。Trickbot 银行木马最新变种通过带有附件的垃圾邮件传播,其会伪装成为伪装成广告提供商的订阅通知,并诱导用户点击附件中带有宏的 Word 文档。
针对金融领域的恶意攻击日益猖獗,个人与企业需要提升安全防护意识,除从正规渠道下载相关应用程序外,不要轻易打开来历不明的邮件,更不要轻易下载邮件中的附件,企业还应利用多层次的安全解决方案来进行有效防范。
行业热点:
智能门铃竟成攻击“跳板”,整栋房子全“疯”了
还在使用公共充电线?小心黑客正在窃取你的隐私!
勒索软件“变形术”升级,大规模垃圾邮件瞄准银行
Windows Server 2008即将终止支持,您准备好了吗?
了解亚信安全,请点击“阅读原文”