根据TrustlookLab截获的信息,可以确认,最近发现的移动恶意软件将攻击世界各地的金融机构,其中德国是攻击目标最多的国家。
近日,TrustlookLab发现了一款移动恶意软件,并调查了该恶意软件的攻击载体及受损设备与其C&C服务器基础架构之间的通信,发现其攻击目标是德国的15个金融机构。
调查显示,其它区域金融服务机构的移动用户也将面临类似的威胁。
该恶意软件通过在邮件或短信中嵌入链接,或通过网络钓鱼网站,使用户下载应用并进行安装。
恶意软件伪装成邮件客户端,并具有相应图标
应用强制用户授予其设备管理员访问权限
该恶意软件通过调用setComponentEnabledSetting()来隐藏图标:
privatevoidinvoke_hideApp2()
{
getApplicationContext().getPackageManager().setComponentEnabledSetting(getComponentName(),2,1);
}
publicPendingIntentf()
{
IntentlocalIntent=newIntent(n);
returnPendingIntent.getBroadcast(getApplicationContext(),0,localIntent,0);
}
通过在字符串内部的随机位置插入字符来隐藏字符串,例如:
publicstaticfinalString[]d={“c!o!m!.qiho!o.!s!ec!ur!i!t!y!”.replace(“!”,“”),“co!m.!an!tiv!i!r!u!s”.replace(“!”,“”),“co!m!.t!heg!old!e!ng!o!o!da!pp!s!.!ph!on!e!_c!l!e!aning!_v!iru!s_f!r!e!e!.c!l!ean!e!r.!b!oos!t!er!”.replace(“!”,“”),“c!om!.antiv!ir!us.!table!t!”.replace(“!”,“”),“c!om!.!n!qm!o!b!il!e.!an!t!i!v!i!r!u!s20!”.replace(“!”,“”),“co!m.km!s!.!f!r!ee”.replace(“!”,“”),“co!m!.!dr!w!e!b!”.replace(“!”,“”),“co!m!.!t!rus!t!l!o!ok!.!a!nt!i!v!i!r!u!s!”.replace(“!”,“”),“c!om!.!es!e!t.e!m!s2!.gp!”.replace(“!”,“”),“