搜寻恶意软件时，研究人员发现一款恶意的安卓应用程序，有趣的是，它把自己描述为俄罗斯联邦储蓄银行（Sberbank）的网银应用。Sberbank是俄罗斯以及东欧最大的银行。

攻击者过去曾多次尝试攻击Sberbank。由于移动设备的普遍特性，恶意软件开发人员过去曾试图在移动设备上攻击Sberbank的客户。通过查看近期的恶意软件样本，似乎出现另一个恶意软件以独特的方式攻击银行用户。

概述：

这款恶意软件将自己伪装成俄罗斯最大银行Sberbank的网银App。这款恶意应用的外观与原版相仿。与原版应用显示的登录界面相似，当受害者试图认证时，该恶意应用趁机窃取用户的凭证。一旦凭证得手，它便向受害者展示一个页面，提示技术错误和命令终止。此款恶意软件的安装要求管理员特权，如果得到许可，可能对受害者的设备带来毁灭性的后果。

它还可以拦截短信和来电，短信和来电是银行为了解决动态口令（OTP）问题采取的步骤之一。此外，这款恶意软件还包含针对其他一些知名凭证应用的模块。

技术解释：

这款应用将自己描述为Sberbank的网上安卓应用，安装要求管理员权限，如下方截图所示：

假应用及其许可

一旦激活，显示的登录页面与原应用类似，轻易诱使受害者使用网银凭证。

研究人员试图从Google’s Play Store安装Sberbank网上安卓应用，但难以区分原版和仿版之间的异同。请注意Google’s Play Store 的Sberbank网上应用程序不是恶意应用。下方截图显示真假App在手机上的显示：

原版VS仿版

这款恶意软件最独特的功能在于将自己覆盖在原Sberbank网银应用上。即使受害者试图访问原应用，这款恶意软件将极力向受害者显示假登录页面。一旦用户访问假的登录详细页面，这些信息被发送至命令与控制（C&C）服务器。发送至C&C的凭证如下图所示：

发送至C&C的网银凭证

一旦这款恶意软件窃取凭证的目的达到，会向用户显示报错页面：对一些技术故障和网页关闭致以歉意。报错页面如下图所示：

登录后的报错页面

但是这款恶意软件并未就此止步。它还注册一些服务和广播接收器，以保持自身的持久性。下方为这款恶意软件的主要功能：

• 发送短信

• 拦截短信

• 通话功能

• 电话拦截

• 通过屏幕覆盖攻击其他知名应用。

发送短信：

该恶意软件的目的在于接收命令与控制服务器的命令，让开发人员通过受感染设备发送短信至任何号码。下方截图显示该功能如何实施：

发送短信功能

以上代码片段中，“paramString1”和“paramString2”分别为手机号码以及由命令与控制服务器发送的短信。攻击者有权发送任何信息至任何号码。

短信拦截：

此恶意软件拦截短信，将短信详情收集在一个文件，并开启负责发送文件至远程命令与控制服务器的安卓服务。

下方截图显示此功能执行的逻辑：

短信拦截代码片段

研究人员还注意到，命令与控制服务器用拦截短信应被发送的地址回复。恶意软件的目的是检查安卓web视图组件，允许它从命令与控制服务器的回复中提取JavaScript并作出相应动作。下方截图显示从命令与控制服务接收的地址：

发送短信的位置

下方截图显示发送至远程命令与控制服务器的短信详情：

HTTP请求中的短信详情

通话功能：

这款恶意软件还能拨号。这可能让受害者有损失，取决于恶意App拨打的电话数量和电话类型不同（付费号码、国际号码等）。这个功能嵌入“MeSystem”类，它负责从命令与控制服务器的回复中提取号码并向这些号码拨打电话。下方截图中，“str”是从命令与控制服务器接收的字符串。

电话功能

电话拦截：

该恶意软件还执行电话拦截功能。目前，研究人员发现它只收集来电号码和电话持续时间。设备接收电话以及恶意软件将详情发送至命令与控制服务器如下图所示：

HTTP请求中的电话详情

覆盖功能

除了Sberbank应用，这款恶意软件还将目标瞄向Whatsapp、Google Play Store应用和俄罗斯外贸银行（VTB） 24 银行应用。

目标应用程序列表由远程命令与控制服务器发送并由该应用在本地储存，如下：

假登录页面的URL

“name”字段证明应用的程序包名称，这样一来，无论何时上述列表中的应用处于打开状态，恶意软件根据各自的程序包名称的URL检测它并覆盖假的登录页面。

通过这些URL获取的假登录页面与原URL表现一致。一旦用户使用凭证，凭证就会被发送至命令与控制服务器，同时显示技术错误的功能得以实施。

下方截图显示俄罗斯外贸银行（VTB）24网银应用的假登录页面以及发送至命令与控制服务器的凭证：

俄罗斯外贸银行的假登录页面

利用安全功能做掩护是恶意软件开发者攻击受害者的新趋势。以WhatsApp为例，恶意软件开发人员试图诱使受害者使用假信息实现新实施的加密功能。

当WhatsApp的原版应用打开时，恶意软件显示从命令与控制服务器各自URL获取的覆盖页面。起初，它显示一条信息，提示WhatsApp需要认证和支付信息进行新实施的加密功能。

一旦受害者继续按步骤执行，恶意软件会要求必要的详细信息并传送至命令与控制服务器。

下方截图显示该功能：

仿版WhatsApp

持久性：

除此之外，该恶意软件采用非常明智的方法保持持久性。它注册广播接收器，当受害者试图移除恶意软件应用的管理员权限时，接收器会立即触发，锁定安卓设备数秒。结果，撤销管理权限根本无法卸载这款恶意应用。下方截图显示该功能：

锁定功能

受害者的唯一选择就是重新将设备恢复出厂设置，但这种方法会导致受害者丢失更多数据。

结论:

使用假网银应用攻击银行用户对攻击者而言是最简单、成功率最高的做法。这款恶意软件将多个恶意功能融合为一个应用，充分利用成功感染效果。攻击者可能通过C&C命令控制欲攻击的合法应用列表，让恶意软件应用显示覆盖页面并窃取敏感的用户信息。

这个恶意软件应用的证书最近被更新，C&C服务器域名也是最近注册的。