年度盘点：2023年10种新的银行木马，攻击了985款银行应用

2023年出现了10个新的Android银行恶意软件家族，这些恶意软件共同攻击了来自61个国家或地区金融机构的985个银行和金融交易应用程序。

银行木马是一种恶意软件，它通过窃取凭据和会话cookie、绕过两步验证保护，有时甚至自动执行交易来攻击人们的在线银行账户和资金。

除了2023年新增的10个银行木马外，2022年还有19个进行了修改更新。移动安全公司Zimperium分析了所有29个木马（10+19），并报告了木马攻击的发展趋势：

◈增加了一个自动转账系统（ATS），用于获取多因素认证代币、发起交易和执行资金转账。

◈社会工程手段的参与，例如网络犯罪分子冒充客户支持代理，引导受害者自己下载特洛伊木马有效载荷。

◈增加了实时屏幕共享功能，可与受感染设备直接进行远程交互。

◈以每月3000至7000美元的价格向其他网络犯罪分子提供订阅包中的恶意软件。

根据分析可以发现，特洛伊木马攻击的常用手段包括记录用户的按键信息、伪装网络钓鱼页面以及窃取短信消息。此外，银行木马不再仅仅关注窃取银行凭证和资金，而是开始针对社交媒体、消息传递和个人数据进行攻击。

Zimperium 已经检查了10种新的银行木马，其中有2100多种变体已经被发现在互联网上流传，它们伪装成特殊实用程序、生产力应用程序、娱乐门户、摄影工具、游戏和教育辅助工具等形式。

下面列出了这10个新特洛伊木马：

1. Nexus：MaaS（恶意软件即服务），有 498 个变体提供实时屏幕共享，针对 9 个国家或地区的 39 个应用程序。

2. Godfather：MaaS，拥有 1171 个已知变体，支持远程屏幕共享，针对 57 个国家或地区的 237 个银行应用程序。

3. Pixpirate：具有 123 个已知变体的特洛伊木马，由 ATS 模块提供支持，针对10个银行应用程序。

4. Saderat：具有 300 个变体的特洛伊木马，针对 23 个国家或地区的 8 个银行应用程序。

5. Hook：MaaS，具有 14 个已知变体，由实时屏幕共享提供支持，针对 43 个国家或地区的 468 个应用程序，并以每月 7 美元的价格出租给网络犯罪分子。

6. PixBankBot：具有三种已知变种的特洛伊木马，带有一个用于设备欺诈的 ATS 模块，针对4个银行应用程序。

7. Xenomorph v3：MaaS 操作，具有 6 种能够进行 ATS 操作的变体，针对 14 个国家或地区的 83 个银行应用程序。

8. Vultur：具有 9 种变体的木马，针对 15 个国家或地区的 122 个银行应用程序。

9. BrasDex：针对巴西的8个银行应用程序的特洛伊木马。

10. GoatRat：具有 52 个已知变体的木马，由 ATS 模块提供支持，针对 6 个银行应用程序。

在其他19个修改更新的恶意软件家族中，最活跃的恶意软件家族是 Teabot、Exobot、Mysterybot、Medusa、Cabossous、Anubis 和 Coper。

依据银行应用程序被攻击数量对国家或地区进行排序，排名第一的是美国（109 个），其次是英国（48 个）、意大利（44 个）、澳大利亚（34 个）、土耳其（32 个）、法国（30 个）、西班牙（29 个）、葡萄牙（27 个）、德国（23 个）和加拿大（17 个）。

❖为了防范这些威胁，应避免从 Google Play（Android 唯一的官方应用商店）之外下载 APK，即使在该平台上，也建议仔细阅读用户评论并对应用的开发者或发行商进行背景调查。

❖在安装过程中，应密切注意请求的权限，除非确定，否则切勿授予对“辅助功能服务”的访问权限。

❖如果应用在首次启动时请求从外部来源下载更新，应持怀疑态度，并尽可能完全避免。

❖最后，切勿点击来自未知发件人的短信或电子邮件中嵌入的链接。