宋明成

根據(jù)網(wǎng)絡(luò)安全公司PhishLabs的說法，他們在近日發(fā)現(xiàn)了銀行木馬BankBot的一個(gè)新變種，正通過偽裝成合法應(yīng)用Adobe Flash Player、Avito和HD Video Player進(jìn)行傳播。

PhishLabs表示，被命名為“Anubis”的新變種將移動威脅提升到了一個(gè)新的層次。它將原本分屬于眾多不同類型惡意軟件的功能集合在了一身，這包括勒索軟件（Ransomware）功能、鍵盤記錄（keylogger）功能、遠(yuǎn)程訪問特木馬（RAT）功能、短信攔截功能、呼叫轉(zhuǎn)移和鎖定屏幕功能。

在Anubis之前，LokiBot是第一個(gè)整合了勒索軟件功能的Android銀行木馬。而現(xiàn)在，Anubis的出現(xiàn)意味著BankBot背后的開發(fā)人員正在進(jìn)一步提高其代碼質(zhì)量。

Anubis的配置存儲在名為“set.xml”的文件中，有幾個(gè)條目與新的勒索軟件功能相關(guān)。比如“htmllocker”，它會在惡意應(yīng)用安裝成功后提供實(shí)現(xiàn)鎖定屏幕功能的HTML代碼。這種功能很容易讓我們聯(lián)想到其他鎖定屏幕的勒索軟件，但它們只是簡單地禁止受害者訪問手機(jī)界面，而Anubis則是真正的實(shí)現(xiàn)了勒索軟件功能。它的加密模塊會使用256位對稱密鑰加密文件，并為被加密的文件附加擴(kuò)展名. AnubisCrypt。

除了上述的勒索軟件功能外，Anubis還實(shí)現(xiàn)了遠(yuǎn)程訪問特木馬功能。通過RAT服務(wù)提供的命令包括開放目錄、下載文件、刪除文件和文件夾、啟動和停止VNC以及停止和開始錄音。該功能允許攻擊者直接操縱文件系統(tǒng)并監(jiān)控受害者的活動。另外，Anubis也實(shí)現(xiàn)了鍵盤記錄功能，包括日志文件的名稱。記錄聲音和記錄擊鍵的能力使得Anubis既強(qiáng)大又極具侵略性。

盡管Anubis整合了眾多新功能，但由于它是基于BankBot源代碼開發(fā)的，因此它仍然是一個(gè)銀行木馬。如同大多數(shù)Android銀行木馬一樣，Anubis會監(jiān)視目標(biāo)應(yīng)用程序的啟動，然后使用對應(yīng)的釣魚屏幕覆蓋合法應(yīng)用程序以竊取受害者的憑證。最后，它同樣會使用其短信攔截功能來攔截銀行發(fā)送的任何后續(xù)安全代碼。

PhishLabs表示，他們在全球范圍內(nèi)共發(fā)現(xiàn)了275個(gè)不同的應(yīng)用攜帶有Anubis，其中包括了29個(gè)涉及與加密貨幣相關(guān)的應(yīng)用。根據(jù)樣本命令和控制（C&C）服務(wù)器的域名顯示，它們大多數(shù)都是從日本、摩爾多瓦和法國注冊的，基礎(chǔ)設(shè)施則托管在位于烏克蘭、德國和荷蘭的服務(wù)器上。