https://www.informationsecurity.com.tw/Seminar/2024_TCM/
https://www.informationsecurity.com.tw/Seminar/2024_TCM/

觀點

2023年十大新興行動銀行惡意軟體

2023 / 12 / 18
編輯部
2023年十大新興行動銀行惡意軟體
根據移動安全公司Zimperium最新發佈的2023年度行動銀行搶劫報告報告,顯示23年有29 個惡意軟體系列針對 61 個國家的 1,800 個銀行APP。22年僅發現了10個惡意軟體系列針對600個銀行APP。這份報告中特別關注銀行木馬的發展。
 
銀行木馬是一種「老而彌堅」的惡意軟體,可竊取使用者的憑證和cookie來繞過雙因素認證(2FA)保護,有時甚至能自動執行交易來竊取使用者的線上銀行帳戶資金。

銀行惡意軟體的八個關鍵趨勢

透過對這29個惡意軟體的追蹤分析,Zimperium發現2023年行動銀行惡意軟體威脅呈現以下八個趨勢:
  • 銀行惡意軟體增加自動轉帳系統(ATS),用於捕獲MFA Token、發起交易並執行資金轉帳的功能。
  • 銀行惡意軟體會透過電話進行攻擊(TOAD):結合社交工程攻擊,例如網路犯罪分子會冒充客戶支援代理,引導受害者自行下載更多惡意軟體。
  • 添加即時螢幕共用功能,無需實體訪問即可遠端控制受害者的設備。
  • 使用功能變數名稱生成演算法(DGA):繞過黑名單過濾。
  • 惡意軟體即服務(MaaS):以每月3000至7000美元的價格向其他網路犯罪分子提供訂閱包中的惡意軟體。
  • 標準功能完善。受調查的大多數惡意軟體提供鍵盤記錄、網路釣魚頁面和簡訊竊取等「標準功能」。
  • 惡意軟體程式碼開源導致反覆運算加快,使基於簽名的殺毒軟體失效。
  • 竊取資料。銀行惡意軟體不再僅僅竊取銀行憑證和資金,現在還開始瞄準社交媒體、消息和個人隱私資料。

十大行動銀行惡意軟體

根據攻擊目標的數量來看,Hook、Godfather和Teabot是2023年最具影響力的三大行動銀行惡意軟體。

傳統銀行應用程式仍然是銀行木馬主要目標,受感染的應用程式數量達到驚人的1103個,占1800個目標的61%,而新興的金融科技和交易應用程式則占剩餘的39%。

以下是這十個新銀行惡意軟體列表:
  • Nexus:MaaS(惡意軟體即服務)模式,有498種變體,提供即時螢幕共用,針對9個國家/地區的39個應用。
  • Godfather:MaaS模式。有1171種已知變體,針對57個國家/地區的237個銀行應用。支援遠端螢幕共用。
  • Pixpirate:有123個已知變體,由ATS模組驅動,針對10個銀行應用程式。
  • Saderat:有300個變體,針對23個國家/地區的8個銀行應用程式。
  • Hook:MaaS模式。有14種已知變體,支援即時螢幕共用。其攻擊目標覆蓋43個國家/地區的468個應用程式,並以每月7000美元的價格租給網路犯罪分子。
  • PixBankBot:有三個已知變體,針對4個銀行應用程式。配備了用於設備上欺詐的ATS模組。
  • Xenomorphv3:MaaS模式。有能夠執行ATS操作的六種變體,針對14個國家/地區的83個銀行應用。
  • Vultur:有9個變體,針對15個國家/地區的122個銀行應用程式。
  • BrasDex:針對巴西8個銀行應用程式的木馬。
  • GoatRat:有52個已知變體,由ATS模組驅動,針對6個銀行應用程式。此外,還有很多2022年開始流行並在2023年完成更新的惡意軟體家族,其中依然保持活躍的家族包括Teabot、Exobot、Mysterybot、Medusa、Cabossous、Anubis和Coper。

三大緩解措施

報告指出,2023年銀行木馬給金融企業造成的經濟損失和運營成本持續增加,同時導致消費者信任度和品牌影響力下降。金融機構應該採取主動和自我調整安全方法應對不斷增長的威脅,並重點實施以下三大緩解措施:

確保安全措施與威脅的複雜程度相近:使用先進的程式碼保護技術提升攻擊應用程式所需的成本和精力,使其超過攻擊者的潛在收益。

實現運行時可視性以進行全面的威脅監控和建模:移動應用安全領導者必須實現跨各種威脅媒介,包括設備、網路、應用程式和網路釣魚的運行時可見性。這種即時洞察力可以主動識別和報告風險、威脅和攻擊。

部署設備上保護以實現即時威脅回應:行動應用安全領導者應優先實施設備上保護機制,使移動應用能夠在檢測到威脅時立即採取行動。這種能力應該是自主的,不需要依賴網路連接或後端伺服器通信。

對於個人用戶來說,防範手機銀行木馬的關鍵措施是:避免從非官方應用商店下載應用;在應用安裝過程中密切注意許可權請求,切勿授予對協助工具服務的存取權限;避免點擊來路不明的短信或郵件中的連結下載應用程式。