安卓拦截银行语音通话的木马程序变得更加隐蔽

策略性演变

新变体的发现

新功能情况

• 蓝牙接收器：

• 该接收器主要作为监听器，监测蓝牙状态及其变化。值得注意的是，源代码中没有立即显示出恶意行为的证据，这让人怀疑它是否是为未来功能预留的占位符。

• 屏幕接收器：

• 与蓝牙接收器类似，该组件仅监测屏幕的状态（开 / 关），源代码中也未显示出任何恶意活动。

• 辅助功能服务：

• 监测拨号活动：该服务似乎监测来自 com.skt.prod.dialer 包（安卓原生拨号应用）的事件，可能使其能够检测到用户何时试图使用除该恶意软件本身之外的应用拨打电话。

• 自动授予权限：该服务似乎能够检测到来自 com.google.android.permissioncontroller（系统权限管理器）和 com.android.systemui（系统 UI）的权限提示。在检测到特定事件（如 TYPE_WINDOW_STATE_CHANGED）时，它可以自动授予恶意软件权限，绕过用户同意。
• 远程控制：该恶意软件使远程攻击者能够完全控制受害者设备的用户界面，允许他们模拟用户交互，如点击、手势和在应用间导航。这种能力使攻击者能够精确地操控设备。
• 该恶意软件引入了一项从安卓辅助功能服务继承而来的新服务，使其能够对用户界面进行显著控制，并具备捕获屏幕上显示信息的能力。反编译代码显示诸如 onAccessibilityEvent () 和 onCreate () 等方法是在原生代码中实现的，掩盖了它们具体的恶意意图。
• 虽然提供的代码片段侧重于在原生代码中实现的服务生命周期方法，但早期版本的恶意软件为可能的功能提供了线索：
• 电话监听服务：
• 该服务充当恶意软件与其命令与控制（C2）服务器之间的管道，允许攻击者在受感染设备上发出命令并执行操作。与之前的版本一样，新变种为攻击者提供了一套全面的能力（见下表）。一些功能已迁移到原生代码，而另一些则是新增功能，进一步增强了恶意软件危害设备的能力。

原文始发于微信公众号（黑客联盟l）：安卓拦截银行语音通话的木马程序变得更加隐蔽