TsarBot 银行木马

通过Mezo在移动恶意软件, 银行木马

翻译为：

新发现的 Android 恶意软件 TsarBot 已成为重大网络威胁。该恶意软件针对银行、金融、加密货币和电子商务领域的 750 多个应用程序，对用户的敏感数据构成严重威胁。

TsarBot 是一种复杂的银行木马，它利用覆盖攻击来窃取银行详细信息、登录凭据和信用卡信息。TsarBot 的运营范围遍及北美、欧洲、亚太地区和中东等多个地区，它使用欺骗性策略无缝渗透设备并提取数据。

TsarBot 主要通过伪装成金融平台的恶意网站进行传播。一个显著的例子是 Photon SOL 去中心化交易平台的假版本，它会诱骗用户下载欺诈性交易应用程序。此外，网络钓鱼和社会工程策略在其传播中也发挥了重要作用。

像 TsarBot 这样的恶意软件通常嵌入看似无害的内容中，通过驱动下载、恶意广告、在线策略、可疑下载源、垃圾邮件、虚假更新和盗版内容接触用户。一些变体甚至可以通过本地网络和 USB 驱动器自我传播，这使得它们更难控制。

一旦安装（通常伪装成 Google Play 服务），TsarBot 就会通过在合法应用程序上显示虚假登录屏幕来执行覆盖攻击。这使其能够在不引起怀疑的情况下收集登录凭据。

除了覆盖攻击之外，TsarBot 还采用了屏幕录制、远程控制受感染设备以及使用假锁屏获取 PIN 和密码的锁屏抓取机制等先进技术。它还可以模拟用户滑动和点击等操作，同时使用黑色覆盖屏幕隐藏其活动。

TsarBot 通过 WebSocket 连接与其命令和控制 (C&C) 服务器通信，从而实现实时数据窃取和欺诈活动。这些连接允许恶意软件操纵屏幕、执行手势并与目标应用程序交互。

该恶意软件会维护一份最新的目标应用程序列表，其中包括来自印度、法国、波兰和澳大利亚的银行平台、加密货币交易和社交媒体应用程序。当用户与这些应用程序交互时，TsarBot 会覆盖一个虚假的网络钓鱼页面来获取凭证，并将收集到的数据传输回其 C&C 服务器。

为了防范 TsarBot 等威胁，网络安全专家建议：

随着 Android 银行木马变得越来越复杂，用户必须保持警惕并采取主动的安全措施来保护他们的数据。

搜索