刘文艳

捷克软件公司Avast近日发现，一款新型Android恶意软件Catelites Bot偽装成2 200多家银行应用软件，利用“屏幕覆盖攻击”窃取用户银行账户与密码信息。

Avast在其博文中指出，Catelites Bot与一款由俄罗斯网络黑帮发布的CronBot有一些相似之处，因此研究人员认为Catelites Bot也可能与该黑帮有关联。

据报道，该网络黑帮近期已被警方捣毁，曾利用“CronBot”木马感染了超过100万用户，盗取金额90万美元。

虽然没有任何证据表明恶意软件Catelites Bot的开发者与CronBot有关联，但目前该恶意开发者可能已经掌握了CronBot的相关技术并将其用于自己的攻击活动中。

Catelites Bot攻击方式

研究人员透露，Catelites Bot主要通过第三方应用程序商店进行传播。近几个月来，几乎每周都有“虚假应用程序”攻击Android设备的案例。恶意软件Catelites Bot首先会尝试获取管理员权限，然后自动并交互式地从Google Play商店中提取其他Android银行应用程序的图标和名称，之后再利用“屏幕覆盖攻击”———即伪造的银行APP登录界面覆盖其他正规应用程序的方式来欺骗用户，以便于获取用户名、密码和信用卡信息。

虽然伪造的登录界面和真实的应用程序界面不完全相同，但黑客能够通过广撒网的方式达到目的。通常情况下，新Android用户可能更容易受骗上当。

研究人员表示：“目前为止，Catelites Bot恶意软件主要针对的是俄罗斯用户群体，它还处于一个早期测试阶段，或将扩散至全球更大范围，统计结果显示目前至少有9 000名用户设备受到感染”。

此外，Avast和SfyLabs团队发现恶意软件Catelites Bot还有一些尚未激活的功能，如文本拦截（通常需要访问双重验证码）、擦除设备数据、锁定智能手机、访问电话号码、查看消息对话、强制密码解锁甚至更改扬声器音量等。

研究人员建议，由于Catelites Bot是通过非官方渠道传播的，因此对用户而言将手机设置为仅接受来自官方应用商店（如Google Play）的应用下载非常重要。同时，通过确认程序界面来检查银行应用是否被覆盖也是预防恶意软件攻击的必要措施。