详细内容或原文请订阅后点击阅览
教父Android Trojan使用虚拟化劫持银行和加密应用程序
教父Android Trojan使用虚拟化劫持银行和加密应用程序,窃取用户资金,警告移动安全公司Zimperium。 Zimperium Zlabs发现了教父Android Trojan的重大演变,该木马使用了驻留虚拟化来劫持Real Banking和Crypto应用程序。恶意软件没有使用假叠加层,而是在受害者的[…]
来源:Security Affairs _恶意软件教父Android Trojan使用虚拟化劫持银行和加密应用程序
教父Android Trojan使用虚拟化劫持银行和加密应用程序,窃取用户资金,警告移动安全公司Zimperium。
Zimperium Zlabs发现了教父Android Trojan的重大演变,该木马使用了智能虚拟化来劫持Real Banking和Crypto Apps。该恶意软件没有使用伪造的覆盖层,而是在受害者的设备上创建一个沙箱,在其中运行实际应用程序,并实时拦截用户输入。此技术允许完整的帐户接管并绕过安全功能。当前的活动针对土耳其银行,并在移动恶意软件策略方面表现出严重的飞跃。
最新的教父Android恶意软件样本使用拉链操纵和混淆来逃避静态分析。威胁参与者对APK邮政编码结构和Android表现出来,添加了标志和字段,例如误导工具。该恶意软件将其有效载荷隐藏在资产文件夹中,并使用基于会话的安装来绕过限制。它利用可访问性服务来监视用户输入,自动授予权限和通过基本64编码的URL到C2服务器的渗透数据。
教父恶意软件使用合法的开源工具,例如VirtualApp和Xped来运行覆盖攻击。它虚拟化主机内部的应用程序,而不是直接在Android OS上。
托管应用程序运行在主机管理的沙盒文件系统中,并带有com.heb.reb:va_core执行它们。此设置使恶意软件挂钩API,窃取数据并保持隐藏状态,以确保其恶意功能在受控环境中未被发现。
com.heb.reb:va_core
教父恶意软件使用巧妙的虚拟化技巧来劫持Android设备上的银行应用程序。首先,它扫描受害者的电话中的特定银行应用程序。如果找到任何东西,它将下载并将Google Play组件安装到它控制的隐藏的虚拟空间中。
package.ini
报告
getEnabledAcccesseribilityservicelist
银行和财务应用
cyble