在過去十年中,移動設(shè)備的使用量呈指數(shù)級增長。現(xiàn)在全球約有53億個(gè)獨(dú)立手機(jī)用戶,其中90%以上訪問互聯(lián)網(wǎng)。每臺移動設(shè)備平均安裝了大約40個(gè)應(yīng)用程序,預(yù)計(jì)到今年年底,應(yīng)用程序的總下載量將超過2500億個(gè)。
隨著移動設(shè)備和應(yīng)用程序數(shù)量的快速增長,網(wǎng)絡(luò)攻擊數(shù)量也在大幅增加,犯罪分子越來越關(guān)注對銀行應(yīng)用程序的滲透。移動滲透的手段如今越來越多樣化、越來越復(fù)雜,并且具備升級的能力——TeaBot RAT木馬程序也不例外,如今已經(jīng)滲透到全球各地的銀行、加密貨幣交易所和數(shù)字保險(xiǎn)提供商,并且造成了損害。然而,行為生物識別技術(shù)提供了將風(fēng)險(xiǎn)降至最低的關(guān)鍵措施。
移動設(shè)備社交工程攻擊
在大多數(shù)情況下,網(wǎng)絡(luò)攻擊始于復(fù)雜的社交工程攻擊,以使用戶將惡意軟件下載到其終端設(shè)備上。這些木馬通常以網(wǎng)絡(luò)釣魚電子郵件、短信或虛假應(yīng)用程序的形式出現(xiàn)。
木馬然后會自行安裝,使黑客能夠收集信息并加載更多惡意軟件。例如,TeaBot RAT木馬使網(wǎng)絡(luò)犯罪分子能夠獲得設(shè)備的管理訪問權(quán)限,并攔截銀行應(yīng)用程序憑據(jù)甚至一次性密碼。
根據(jù)調(diào)查,每24起欺詐案件中就有1起涉及TeaBot RAT攻擊。HTML覆蓋攻擊也用于獲取關(guān)鍵數(shù)據(jù)。在大多數(shù)情況下,在智能手機(jī)上使用銀行應(yīng)用程序的用戶并不知道此類行為。
TeaBot攻擊的歷史
惡意軟件檢測依賴于傳統(tǒng)的防病毒技術(shù),這些技術(shù)搜索可疑文件的名稱,并定期檢查應(yīng)用程序及其哈希值是否存在惡意軟件。另一方面,這些策略近年來已經(jīng)不再那么有效。這是因?yàn)椋瑸榱吮苊獗粴⒍拒浖z測到,黑客會創(chuàng)建文件名不斷變化的惡意軟件。
在去年,TeaBot惡意軟件攻擊(在德國也稱為Anatsa)成為行業(yè)媒體報(bào)道的頭條新聞。惡意代碼開發(fā)者試圖通過將其偽裝成無害應(yīng)用程序來誘騙受害者下載惡意軟件。TeaBot配備了RAT功能,并提供多種語言版本。它們通過Play商店之外的惡意應(yīng)用程序傳播,例如VLC MediaPlayer、UPS和DHL等應(yīng)用程序。為了大規(guī)模傳播惡意軟件,黑客使用了所謂的偽裝攻擊:受害者收到一條帶有應(yīng)用程序鏈接的短信,并使用它下載木馬。另一種傳播是下載和安裝TeaBot的虛假彈出窗口,將其自身實(shí)現(xiàn)為Android服務(wù)并在后臺運(yùn)行。這使得它可以永久地嵌入終端設(shè)備中而不會被檢測到。在下載之后,它會獲得廣泛的權(quán)限,并立即開始掃描設(shè)備上安裝的應(yīng)用程序。
TeaBot木馬通過遠(yuǎn)程控制受害者的智能手機(jī)有效地接管了用戶的移動設(shè)備。它可以讀取短消息并將其轉(zhuǎn)發(fā)到命令和控制服務(wù)器,因此具有繞過一次性密碼(OTP)預(yù)防措施的能力。它獲得批準(zhǔn)通知的訪問權(quán)限并具有日志記錄功能,可以禁用Google PlayProtect并發(fā)起覆蓋攻擊。Teabot通過從命令和控制服務(wù)器為目標(biāo)應(yīng)用程序加載一個(gè)特制的登錄頁面來做到這一點(diǎn)。網(wǎng)絡(luò)釣魚頁面放置在銀行應(yīng)用程序上。在這里,用戶的憑據(jù)通過密鑰記錄收集,并轉(zhuǎn)發(fā)到黑客控制的命令和控制服務(wù)器。
TeaBot主要針對銀行和加密貨幣應(yīng)用程序,但該惡意軟件還從其他已安裝的應(yīng)用程序中收集信息。受害者幾乎不可能刪除它。如果犯罪分子獲得登錄和帳戶數(shù)據(jù)的訪問權(quán)限并能夠使用它們進(jìn)行轉(zhuǎn)賬,則可能會造成慘重的經(jīng)濟(jì)損失。
行為生物識別:檢測移動惡意軟件
檢測TeaBot RAT的一種方法是使用基于行為生物特征的解決方案。在這項(xiàng)技術(shù)的幫助下,銀行能夠識別是否是真實(shí)用戶在操作設(shè)備,或者移動設(shè)備是否被惡意軟件通過RAT遠(yuǎn)程控制。惡意軟件與用戶的行為方式不同的一個(gè)例子是導(dǎo)航速度。在控制設(shè)備時(shí),欺詐者非常熟悉支付流程,并快速執(zhí)行支付,以避免被受害者發(fā)現(xiàn)。
基于行為生物特征的技術(shù)將用戶的行為與之前的客戶會話相匹配,以確定一致性和意圖。用戶持有移動設(shè)備的方式也是另一個(gè)指示因素:在欺詐會話中,可能在會話期間都通過桌面設(shè)備進(jìn)行,而真正的用戶則拿著他們的智能手機(jī)四處走動。觸摸和滑動模式也可以被分析和匹配。在TeaBot RAT攻擊的情況下,通常看不到觸摸區(qū)域,這表明終端正在被遠(yuǎn)程控制。如果在與先前會話不同的位置檢測到操作行為,則表明真實(shí)用戶在會話期間無法控制設(shè)備。
如果該技術(shù)基于行為生物識別技術(shù)識別出許多欺詐元素,則會向銀行的安全專家發(fā)出警報(bào)。借助行為生物識別技術(shù)和機(jī)器學(xué)習(xí),金融機(jī)構(gòu)可以在客戶遭受財(cái)務(wù)損失之前,對欺詐行為進(jìn)行預(yù)防性干預(yù)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號