根據(jù)捷克警方近日發(fā)布的官方聲明，捷克共和國(guó)已經(jīng)有5名用戶成為了這款惡意軟件的受害者，并且攻擊者已經(jīng)成功從他們的賬戶上偷走了78000多歐元了。
不過(guò)幸運(yùn)的是，警方已經(jīng)從布拉格的一處自動(dòng)取款機(jī)監(jiān)控探頭那里獲取到了犯罪分子的面部照片（大兄弟，你確定你是專業(yè)的？）。

據(jù)了解，這款偽裝成QRecorder的惡意軟件是一款A(yù)ndroid端銀行木馬，并且可從Google Play上直接下載安裝，目前該惡意軟件的裝機(jī)量已經(jīng)超過(guò)了10000臺(tái)。目標(biāo)設(shè)備感染了”QRecorder”之后，惡意軟件會(huì)誘騙用戶輸入自己的銀行賬號(hào)憑證，并將這些數(shù)據(jù)發(fā)送給攻擊者。值得一提的是，該惡意軟件可以繞過(guò)基于SMS短信的雙因素驗(yàn)證機(jī)制！
分析數(shù)據(jù)表明，這款惡意軟件主要針對(duì)的是德國(guó)、波蘭和捷克銀行的用戶。根據(jù)相關(guān)銀行發(fā)布的聲明，目前已有兩名受害者將事件上報(bào)給了銀行，這兩名客戶的財(cái)產(chǎn)損失總金額超過(guò)了10900歐元。
惡意軟件分析
這款木馬偽裝成了一款名叫QRecorder的App，這款A(yù)pp原本是一款語(yǔ)音通話錄音工具：

啟動(dòng)之后，它會(huì)提示用戶安裝其他的應(yīng)用程序來(lái)完善自己的功能（或提示安裝其他應(yīng)用來(lái)保證自己的正常運(yùn)行）。當(dāng)然了，安裝了所謂的“其他應(yīng)用”之后，用戶將感染木馬病毒。

接下來(lái)，這款A(yù)pp會(huì)正常運(yùn)行，不過(guò)它會(huì)在后臺(tái)等待攻擊者發(fā)送過(guò)來(lái)的控制命令。
根據(jù)研究人員的分析結(jié)果，這些控制命令會(huì)在目標(biāo)用戶感染了惡意軟件的24小時(shí)之內(nèi)送達(dá)。
攻擊者在與受感染設(shè)備進(jìn)行通信時(shí)使用的是Firebase消息，攻擊者首先會(huì)詢問(wèn)目標(biāo)設(shè)備是否安裝了目標(biāo)銀行App。如果安裝了，他會(huì)給目標(biāo)設(shè)備發(fā)送一條包含了Payload和解密密鑰的下載鏈接，其中Payload采用了AES加密。在下載Payload之前，他會(huì)請(qǐng)求用戶激活輔助服務(wù)，并利用這種權(quán)限來(lái)自動(dòng)下載、安裝和運(yùn)行惡意Payload。當(dāng)Payload下載成功之后，它會(huì)嘗試觸發(fā)合法銀行App運(yùn)行。一旦運(yùn)行后，惡意軟件會(huì)創(chuàng)建一個(gè)界面外觀跟合法銀行App類似的頁(yè)面覆蓋層，當(dāng)用戶在這個(gè)覆蓋層頁(yè)面輸入了自己的憑證之后，攻擊者也就獲取到了“一切”。
感染演示視頻
下面給大家提供的是一個(gè)真實(shí)的感染案例：
根據(jù)研究人員對(duì)惡意軟件代碼的分析，我們可以斷定該惡意活動(dòng)的主要目標(biāo)是德國(guó)、波蘭和捷克銀行。針對(duì)不同銀行的App，惡意軟件會(huì)創(chuàng)建不同的具有針對(duì)性的Payload。不過(guò)，研究人員目前還無(wú)法獲取到解密密鑰并識(shí)別所有的目標(biāo)。

入侵威脅指標(biāo)IoC