据赛门铁克(Symantec)的一项研究显示,尽管源代码泄露,一款旨在破坏网上银行账户的Android程序每份售价仍高达5000美元,是同类恶意软件中最高的价格之一。
赛门铁克(Symantec)和RSA周二在其博客上公布了有关iBanking的详细信息。两个东欧网络犯罪集团正在使用iBanking拦截用于登录银行账户的一次性短信密码。
IBanking以其广泛的特性和阻止安全研究人员分析的防御措施而闻名。赛门铁克写道,它几乎可以窃取Android设备上的任何信息,记录通话或将通话转发到另一部手机。
这种恶意软件经常以合法的银行应用程序的形式出现在Android应用程序市场中。看来,被攻击的受害者已经在桌面系统上安装了一种单独类型的恶意软件,在进入银行网站后,系统会提示受害者输入自己的电话号码。
然后,一个带有iBanking链接的短信代码被发送到他们的手机上。它还会显示一个二维码,这也会将受害者引向恶意软件赛门铁克(Symantec)写了。
赛门铁克写道,赛门铁克称之为“永不quest crew”和“Zerafik”的两个团伙已经使用了iBanking,而“Zerafik”的目标客户是金融机构荷兰国际集团(ING)的客户。在这种情况下,iBanking进行了修改,看起来像是荷兰国际集团(ING)的正式申请。
RSA发现对iBanking的代码进行了加密,使恶意软件专家更难研究,使用的技术在桌面恶意软件中已见过,但在移动恶意软件中并不普遍。
赛门铁克写道,IBanking的售价约为5000美元,或者从其协助的盗窃所得中抽取一部分。赛门铁克写道,IBanking的源代码在今年2月被泄露,原因是一名绰号为“左轮手枪”的黑客在为一个被恶意软件窃取的6.5万比特币的朋友报仇时发现了它。
在这一过程中,据信是俄罗斯人的左轮手枪还发现了BBC广播公司服务器的FTP登录凭证尝试出售。
在其源代码发布后,IBanking的价格本应下降。但是iBanking的开发人员,一个昵称为“GFF”的人,继续开发它并提供支持,这维持了它的市场价值。
赛门铁克写道:“尽管有免费版本,但我们的研究表明,大多数大型网络犯罪分子仍继续选择付费版本。”“他们似乎愿意为GFF提供的更新和支持支付溢价。”
RSA写道,它对iBanking的分析表明,如果检测到它在虚拟机中运行,它将关闭自己。虚拟机通常被恶意软件分析人员用来研究应用程序的行为。
试图阻止分析人员和安全专家“已经成为PC恶意软件开发者的标准,但在移动恶意软件领域还远远不是标准做法,”RSA写道。
该公司写道:“iBanking恶意软件表明,移动恶意软件开发者开始意识到保护他们的机器人不受分析的必要性,并暗示了这个新的、不断发展的移动恶意软件领域可能出现的新趋势。”
发送新闻提示和评论到jeremy_kirk@idg.com。在Twitter上关注我:@jeremy_kirk