安卓银行木马 “DoubleTrouble” 升级,威胁欧洲用户安全
HackerNews 编译,转载请注明出处: 研究人员发现名为“DoubleTrouble”的安卓银行木马近期大幅升级传播手段与技术能力,对欧洲用户构成严重威胁。该木马最初通过仿冒大型银行的钓鱼网站传播,现已扩展至利用Discord平台托管恶意APK文件进行分发,显著增加了检测与防御难度。 Zimperium研究人员分析了当前攻击活动的9个样本及25个早期变种。据周三发布的报告显示,新版木马新增多项敏感数据窃取、设备操控及传统移动防御规避功能。 实时监控技术升级 木马安装后会伪装为合法应用(使用谷歌Play图标),诱导用户开启安卓无障碍服务。借此权限,木马可在后台隐蔽运行。其采用基于会话的安装方式,将恶意负载隐藏在应用资源目录中,有效规避早期检测。最新版本核心功能包括: 通过媒体投影(MediaProjection)与虚拟显示(VirtualDisplay)接口实现实时屏幕录制。 伪造锁屏覆盖界面窃取PIN码、密码及解锁图案。 基于无障碍事件监控的键盘记录。 针对性拦截银行应用或安全工具。 仿冒合法登录界面的定制化钓鱼覆盖层。 窃取数据经编码后传输至远程命令控制(C2)服务器,目标涵盖银行应用、密码管理工具及加密货币钱包的凭证。通过实时镜像用户设备屏幕,攻击者可绕过多因素认证,直接获取用户所见敏感内容。 全功能命令控制系统 该木马响应数十种C2服务器指令,支持远程攻击者: 模拟点击滑动操作 触发伪造UI元素 显示黑屏或更新界面 操控系统级设置 特定指令(如发送密码、启动图形拦截、屏蔽应用)使攻击者在窃密同时能主动阻挠用户操作。Zimperium警告称,DoubleTrouble采用的混淆技术、动态覆盖层与实时视觉窃取能力,标志着移动威胁正朝适应性强、持久化方向演进。其持续升级的传播手法与技术特性,对个人用户与金融机构均构成严峻挑战。 消息来源:infosecurity-magazine; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文