Comodo检测到新的复杂金融恶意软件家族

阅读时间： 3 分钟

Comodo 威胁研究实验室 （CTRL）宣布已检测到一个新的 金融恶意软件 被称为“ Gugi / Fanta / Lime”。 它是一种复杂的Banking Trojan，可以绕过Android操作系统（版本6）的标准安全协议并接管该操作系统。 金融恶意软件会寻找系统特权和用户凭证，一旦获得它们，便会获得对Android设备的完全控制。

CTRL检测到该恶意软件在俄罗斯活跃。 该木马在真实的应用程序（例如Google Play商店或其他移动银行应用程序）上放置了真实的仿冒界面程序层。 它欺骗了用户，使他们相信该界面是真实的，并让他们透露其登录凭据和其他敏感信息，例如信用卡和借记卡详细信息。

恶意软件感染如何发生

网络犯罪分子 进行社会工程和网络钓鱼来发起感染。 他们发出包含超链接的垃圾邮件。 如果用户不够警惕并单击超链接，则该用户将被带到恶意网站，并被要求单击另一个链接。 单击将启动Trojan-Banker.AndroidOS.Gugi.c下载到用户的设备上。

现在，“ Gugi / Fanta / Lime”木马会寻求用户的许可-从Android版本6开始，设备的特定用户权限需要用户/所有者的显式权限才能获得应用程序的某些权限，以及将屏幕/窗口叠加在其他应用程序上。 如果用户授予权限，则 木马 使用网络钓鱼窗口将真实的Google Play商店应用和其他移动银行应用的界面覆盖，以窃取用户凭据。

该恶意软件实际上“强迫”用户授予所有需要的权限。 当屏幕上的消息寻求看似真实的权限请求时，实际上，特洛伊木马寻求应用程序覆盖的权限，设备管理员权限。 发送，查看和接收SMS和MMS； 拨打电话，读取和写入联系人以及所需的所有其他权限。 的 芬达木马 还请求BuildConfig，HindeKeybroad和ContextThemeWrapper的权限。 该恶意软件获取电话详细信息，例如IMEI（国际移动设备身份），IMSI（国际移动用户身份），SubscriberId，SimOperatorName和SimCountryIso。

如果用户在任何时候拒绝许可，则“ Gugi / Fanta / Lime”木马将完全阻止受感染的设备。 要重新获得对设备的访问权限，用户只能以安全模式重新启动，然后尝试使用以下方式删除/卸载木马： 安全方案.

木马将SMS发送到命令和控制（CnC）服务器以建立联系。 它使用WebSocket协议与其CnC服务器进行交互。 现在，该恶意软件将带有钓鱼窗口的真实应用程序屏幕覆盖，并窃取屏幕上输入的所有信息-包括登录凭据和卡详细信息。

到目前为止，“ Gugi / Fanta / Lime”木马一直主要用于攻击俄罗斯的用户，考虑到其强大功能，预计将来会在全球范围内使用。

如何保护自己？

• 用户/员工教育 网络安全
• 用户不得单击来自未知来源的SMS中的链接或打开来自未知来源的附件。
• 最好不要在任何SMS中单击任何链接。 可以验证超链接的真实扩展，然后再打开。
• 小心提供权限。
• 如果应用程序要求特权访问，则在提供许可之前要格外警惕。
• 網絡釣魚 短信和邮件可能来自伪造的真实ID。 警惕并警惕此类尝试。

开启免费体验 免费获取即时安全评分

• SEO 支持的内容和 PR 分发。 今天得到放大。
• 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
• Sumber: https://blog.comodo.com/comodo-news/comodo-detects-new-sophisticated-financial-malware/