揭秘黑客是如何偷偷转掉你银行卡里钱的( 二 ) _黑客

SMSeye恶意软件分析
APK Metadata Information
• App Name: BRImo
• Package Name: abyssalarmy.smseye
• SHA256 Hash:a19429c1ef1184a59d9b9319947070239a50ad55a04edc1104adb2a6ae4803cb

文章插图

恶意应用程序通过hxxps://skematrf-login[.]apk-ind.com/download.php钓鱼网站下载。像短信窃取者一样，这个恶意的Android文件也使用该国际大银行的标志显示真实的网站加载到WebView 。
恶意软件已经在清单文件中注册了“SmsEyeSmsListener”接收器。该接收器将从受感染的设备接收传入的短信，并将它们发送到黑客的bot 网络中。

文章插图

查看代码中出现的Kotlin文件的包名和引用，我们能够在GitHub上找到开源项目“Sms Eye” 。这个黑客很厚道的遵循了GitHub页面上提到的所有步骤，并在资产文件夹中更新了bot编号和主加载URL

文章插图

“SMS Eye

文章插图

”项目于2022年10月14日创建，用于监视感染设备发送的短信，并将其转发给指定的 bot网络。虽然间谍软件只有短信窃取功能，但使用它与复杂的网络钓鱼技术，黑客可以执行欺诈交易
总结
最近在持续监测各种散布安卓恶意软件的网络钓鱼活动中发现不少类似的钓鱼攻击。这类攻击通常从复杂的网络钓鱼攻击开始，后来演变为使用各种恶意软件窃取敏感信息。
根据我们的研究，黑客只使用网络钓鱼技术来获取证书，随后开始分发短信窃取程序，从受感染的用户那里窃取OTP，用来绕过银行实施的2FA 。
网络钓鱼页面会提示OTP可能存在异常来欺骗用户，因此我们怀疑黑客开始传播感染短信窃取程序，像其他网络钓鱼活动一样自动化的窃取OTP 。
看看这个网络钓鱼活动的趋势，我们可以预期在未来几周会有更新的恶意软件，其他大的银行也会成为攻击目标。