鑽石舞台

F5 Labs 的研究人員發現了一個新的 Android 惡意軟件家族，能夠在控制受感染的設備後泄露財務和個人信息。

該惡意軟件被稱為 MaliBot，偽裝成加密貨幣挖掘應用程序，但也可能偽裝成 Chrome 瀏覽器或其他應用程序。在受感染的設備上，威脅主要集中在獲取財務信息以及竊取加密貨幣和個人身份信息 (PII)。

該惡意軟件使用 VNC 服務器實現，允許它控制受感染的設備，並且還旨在竊取和繞過多因素身份驗證 (MFA)。

據 F5 Labs稱，MaliBot 的命令和控制 (C&C) 位於俄羅斯，使用之前用於分發 Sality 惡意軟件的相同服務器。自 2020 年 6 月以來，該 IP 已被用於發起各種其他惡意活動。

對 MaliBot 的分析揭示了多種能力，包括對 Web 注入和覆蓋攻擊的支持、運行和刪除應用程序的能力以及竊取大量信息（包括 cookie、MFA 代碼和 SMS 消息）的能力，以及更多的。

MaliBot 正在通過欺詐性網站分發，試圖誘騙目標受害者下載惡意軟件，而不是流行的加密貨幣跟蹤應用程序「TheCryptoApp」，或通過 smishing 進行分發。

對於大多數惡意操作，MaliBot 濫用了 Android Accessibility API，這使得它可以在沒有用戶交互的情況下執行操作，並讓它在受感染的設備上保持持久性。

該惡意軟件還可以通過使用 Accessibility API 驗證 Google 提示來繞過 Google 的 2FA 機制。它還竊取 2FA 代碼並將其發送給攻擊者，然後將代碼輸入到受害者設備上。

當向 C&C 服務器註冊受感染的設備時，惡意軟件還會發送應用程序列表，該列表用於識別可在用戶啟動的應用程序之上使用的覆蓋/注入。

MaliBot 擁有使用 Accessibility API 的權限，還可以實現 VNC 服務器，為攻擊者提供對受感染設備的完全控制。

該惡意軟件還可以按需發送 SMS 消息（主要用於發送短信），可以記錄異常，並通過將自身註冊為啟動器來保持其後台服務運行（這也允許在啟動應用程序時通知它）。

F5 Labs 觀察到 MaliBot 針對西班牙和意大利銀行客戶的攻擊，但請注意，該威脅也可能很快開始針對其他地區的用戶。