2020年第23期网络病毒监测

国家计算机病毒应急处理中心通过对互联网的监测，发现一款新型Android银行木马“Ghimob”企图从全球153个金融移动应用程序中窃取数据，实施欺诈交易。 报告称，攻击者伪装为债权人身份分发钓鱼邮件，诱使受害者点击邮件中的恶意链接，并将木马程序伪装为Google Defender、Google Docs和WhatsApp Updater等合法移动应用程序以进一步诱骗受害者点击下载。木马程序成功安装后，将通过手机系统的访问许可设置功能实现持久性，同时禁用手动卸载功能并允许木马程序获取数据和操纵屏幕内容等，即使用户设置了屏幕锁定模式，该木马程序仍可记录解锁密码以解锁设备。木马程序启动后，将检测是否存在仿真器、调试程序和debuggable（可调试）标志等，若存在以上任何一种，木马程序将自行终止，否则继续执行。感染完成后，木马程序将向服务器发送获取的信息，包括手机型号、屏幕锁定激活状态以及所有已安装的目标应用程序（包括版本号）列表。在准备执行交易时，该木马会通过插入黑屏或打开某些网站以蒙骗受害者，与此同时在后台运行金融应用程序执行交易。报告指出，Ghimob木马程序可从153个移动应用程序（涉及行业包括银行、金融科技、加密货币和交易所等）中窃取数据，其中包含112个巴西的应用程序，其余程序分别为德国、葡萄牙、秘鲁、巴拉圭、安哥拉和莫桑比克等国家的金融应用程序。目前该木马程序的所有受害者均位于巴西，但上述应用程序所属国家说明该木马已计划将其业务扩展至巴西以外地区。此外，研究人员认为该木马或与银行木马“Guildma”（从2015年被发现至今一直活跃，已将攻击范围扩展至巴西以外地区的金融用户）有所关联，两者共享相同的网络服务器且使用了相似的协议。 综上，该木马程序所具有的解锁手机屏幕功能、远程控制功能和欺诈交易行为等及其计划针对多地区金融应用程序发起攻击的目的，对全球Android用户的金融安全形成较大威胁。建议我国相关移动用户提高警惕，增强防范意识，务必从官方平台获取安装移动应用程序，切勿随意打开陌生来源电子邮件或点击不明链接，谨防类似的攻击活动。