近日,来自IBM公司的研究人员表示,一些能够窃取用户网上银行凭证的Android恶意软件的源代码,已经被泄露。随着代码被泄露,专家认为应该有很多的黑客,在进行网络犯罪时,使用过这种恶意代码。
这些恶意软件包括:GM Bot、Slempo、Bankosy、Acecard和MazarBot。
Limor Kessem(一位IBM公司的网络安全分析师)表示,在地下黑客论坛上,有人以大约500美元的价格买走了GM Bot。而在2015年12月,这名买家在一个论坛上,公开泄漏了该软件的源代码。Limor Kessem分析,该黑客之所以这样做的原因,很可能是为了提高他自己的影响力。
Kessem说:“在该论坛上,这名买家公开了一个包含GM Bot软件源代码的加密归档文件。”
“他表示,他只将该文件的密码,告诉了那些在论坛上和他关系比较好的成员。而与此同时,那些得到密码的成员,又将其传给了其他人,这让他感到有点措手不及。因而,除了基本的董事会成员拥有该密码,很多无关人员也得到了密码。这种传播速度已经超出了他的预期设定。” Kessem写道。
他们还通过Zeus,SpyEye和Carberp等App来泄漏该银行木马软件的源代码。
“即使GM Bot可能不会像上述主要的银行木马软件那样的高效,但它的出现,已经给网上银行的安全维护带来了新的威胁。” Kessem补充说道。
2014年底,在俄罗斯的一些网络论坛上,人们发现了有GM Bot恶意软件的存在。黑客之所以能够开发出这款恶意软件,是因为他们利用了Android设备中存在的一个叫做“App绑架”的漏洞,即:他们可在一些系统陈旧的设备上,植入GM Bot,之后就能在一个合法的应用程序上,附加恶意程序,进而实施攻击。
Google公司已经将其加入到Android 5.0以上版本的漏洞防御名单中了。
有些用户可能会认为,如果他们的一个合法的银行App遭到绑架,他们应该能察觉到。实际上并不是这样,这种绑架程序是在App的后台中运行。一旦用户在被绑架的银行App中输入了自己的身份验证信息,那么它马上就会盗取这些信息,并将其传给攻击者。
当GM Bot完全控制了用户的设备之后,它还会窃取用户的短信,比如:某公司提供的一次性验证码。
Kessem表示,在此之前的一些没有采用绑架攻击的移动设备恶意软件,就已经被黑客们用在了商业攻击中。他们利用其盗取用户短信,但这些似乎并不能满足黑客的“需求”。他们想要的是,通过一些钓鱼攻击和木马软件攻击,获得更多的信息,比如受害者个人电脑的访问凭证。
“在GM Bot的源代码遭到泄漏以后,该软件的开发者似乎已经开发出了第二版的GM Bot,并且将其放在了一个地下黑客论坛上,再次进行出售。”Kessem写道。