最近幾個月, DoubleTrouble 發動新一波攻擊這是一種複雜的安卓銀行木馬病毒,其發展速度驚人,目前透過 Discord 等多種方式傳播。該威脅結合了先進的社會工程技術以及在行動裝置上逃避偵測的強大能力,對歐洲用戶和金融機構構成了極高的風險。
Zimperium 和 zLabs 研究團隊已確定 DoubleTrouble 利用 Discord 頻道所進行的密集活動 分發惡意 APK。研究人員分析了 25 個近期樣本和 XNUMX 個先前變種,證明該惡意軟體能夠快速適應並不斷更新其策略,以便在裝置上更有效、更持久地傳播。
DoubleTrouble 在 Android 裝置上的工作原理
DoubleTrouble 以 模擬 Google Play 圖示的合法應用或以看似無害的擴充或插件的形式出現。他們取得控制權的主要策略是向使用者請求權限。 Android 輔助使用服務一旦獲得授權,威脅就可以秘密運行,在後台執行操作並讓攻擊者幾乎可以隨意操縱設備。
之一的 Trojan 的優勢 這是你的 基於會話的安裝方法它將惡意負載隱藏在受感染應用程式的 resources/raw 目錄中。這增加了使用者和傳統安全系統的偵測難度。此外,其程式碼使用隨機方法和類別名,使得惡意軟體的分析和逆向工程更加困難。
至於其內部運作,DoubleTrouble 的突出之處在於 即時螢幕錄製技術的組合利用 Android 的 MediaProjection 和 VirtualDisplay API 建立使用者顯示器的虛擬副本。此功能允許您 取得憑證、存取密碼、圖案和 PIN,以及螢幕上顯示的任何敏感訊息,例如加密貨幣錢包金鑰、保存的密碼或臨時身份驗證碼。
其最危險的特徵包括:
- 偽造的鎖定畫面覆蓋層 竊取解鎖代碼、圖案或密碼。
- 高級鍵盤記錄器 記錄擊鍵和視窗變化。
- 鎖定和打開應用程式,尤其是銀行或安全應用程序,在進行資料竊取的同時阻礙合法使用。
- 虛假通知和警報 旨在誘騙受害者在真實應用程式上疊加的詐騙表格中輸入憑證。
完全遠端控制與規避能力
DoubleTrouble 的存在也可以透過其 廣泛的遠端命令集 由網路犯罪者發送。其功能包括模擬觸控手勢(點擊和滑動)、導致應用程式崩潰、注入自訂 HTML、篡改系統設定以及觸發虛假螢幕(例如「系統維護」或 Android 更新)以隱藏其活動。
被竊取的資料會被打包,連同元資料一起傳輸到命令和控制 (C2) 伺服器,其中包括螢幕尺寸、正在運行的應用程式以及近期事件的資訊。該木馬會將收集到的心跳資訊詳細記錄在 heart_beat.xml 等文件中,等待被秘密竊取。
安全專家強調 演化的本質以及消除 DoubleTrouble 的困難因為它結合了混淆技術、不斷更新以及在 Discord 等流行平台上的傳播,從而規避了傳統的安全措施並接觸到更多的潛在受害者。
為了保護自身安全,在安裝非官方來源的應用程式時務必謹慎,避免授予不必要的權限,並保持裝置作業系統和安全解決方案的更新。此外,合法實體絕對不會要求您透過 Discord 等平台下載 APK 檔案用於銀行業務。
DoubleTrouble 作為 Android 銀行木馬的崛起,展現了網路犯罪分子如何不斷創新以規避防禦並利用新平台。這些威脅的不斷演變要求我們對惡意軟體活動保持高度警惕,尤其要注意社會工程方法以及在用戶警覺性較低的管道上快速傳播。
