我們新近發現了22款AndroidApp屬于一種名為“Xbot”的新型木馬程序家族。該木馬程序雖然仍處于定期更新的開發階段，卻已經能夠作出多樣的惡意行為。它試圖通過釣魚頁面制作模仿Google Play的付款界面以及七個不同銀行應用程序的登錄頁面，以竊取受害者的銀行交易憑證和信用卡資料。它還可以遙控鎖定受感染的Android設備，加密用戶在外置儲存裝置(如SD卡)中的文件，然后索取100美元的PayPal現金卡作為贖金。此外，Xbot將竊取所有短信以及聯系人數據，攔截相關的短信并分析銀行發送的移動交易驗證碼 (Mobile Transaction Authentication Number, 簡稱mTANs) 。

雖然該惡意軟件到目前為止似乎并不普遍，加上在其代碼中的一些標記和偽造應用界面中顯示，目前它主要針對俄羅斯和澳大利亞的Android用戶。但值得注意的是，在這七家被模仿的銀行應用程序中有六家都是澳大利亞當地最受歡迎的銀行。然而，由于Xbot執行于靈活的架構之中，能輕易地擴展到更多Android App中作為攻擊目標。我們已監監測到其作者正在進行定期的更新和改進，因此這惡意軟件可能很快便威脅到世界各地的Android用戶。

Xbot主要是利用一些Android的特征進行一個被稱為“activity hijacking”的流行攻擊技術。被Xbot模仿的App并沒有被利用。從Android5.0開始，Google采取了保護機制來減少這種攻擊，但Xbot采用的其他攻擊方法仍然對Android的所有版本有影響。

作者: Palo AltoNetworks 威脅情報團隊Unit 42 分析員Cong Zheng、Claud Xiao及ZhiXu