資安廠趨勢科技發現,假銀行應用程式「SmsSecurity」變種來襲,除了竊取簡訊發送的密碼,還可利用手機的輔助功能來進行隱蔽行動,進一步控制使用者的行動設備。
在2016年1月,趨勢科技發現許多假的銀行應用程式「SmsSecurity」,號稱可以讓帳號擁有者用來取得一次性密碼(OTP)以登錄銀行;結果這些惡意應用程式,會竊取透過簡訊發送的密碼,還會接收來自遠端攻擊者的命令,控制使用者的行動設備。
最近,趨勢科技發現了加入新功能的SmsSecurity變種。新的功能包括:防分析能力、自動破解Android、語系偵測和利用TeamViewer進行遠端連線。此外,SmsSecurity現在也巧妙地利用Android輔助功能,例如模擬使用者操作螢幕點選,來進行隱蔽行動而無需透過使用者互動。
趨勢科技所發現的新變種被設計成不會在模擬器中執行,讓分析這些樣本變得更加困難。新變種會檢查Build.prop檔案,裡面包含了安裝在行動設備上的Android版本屬性。這些變種會檢查Build.prop中的值如PRODUCT、BRAND和DEVICE,來研判自己是在實體設備或模擬器上執行。
趨勢科技指出,SmsSecurity新變種會在設備上安裝TeamViewer QuickSupport應用程式。這是一個遠端連線工具,可以讓技術支援團隊在行動設備上協助使用者。它被攻擊者用來接管使用者的行動設備。
根據趨勢科技的調查,SmsSecurity新變種這次攻擊的目標是奧地利、匈牙利、羅馬尼亞和瑞士的各家銀行。
趨勢科技進一步說明,從這些新SmsSecurity變種可以看出SmsSecurity的功能演變。將Android的輔助功能用在惡意用途上是進行自動化行為的創新方法,這些做法在未來可能會被其他行動惡意軟體模仿。