對 2022 年移動威脅形勢的分析表明，西班牙和土耳其是惡意軟件活動的最大目標(biāo)國家，盡管新的和現(xiàn)有的銀行木馬越來越多地針對 Android 設(shè)備進(jìn)行設(shè)備欺詐 (ODF)。

其他經(jīng)常成為攻擊目標(biāo)的國家包括波蘭、澳大利亞、美國、德國、英國、意大利、法國和葡萄牙。

荷蘭網(wǎng)絡(luò)安全公司 ThreatFabric在與黑客新聞分享的一份報告中表示：“最令人擔(dān)憂的主題是對設(shè)備上欺詐 (ODF) 的日益關(guān)注。”

“僅在 2022 年的前五個月，濫用 Android 操作系統(tǒng)使用設(shè)備本身進(jìn)行欺詐的惡意軟件家族就增加了 40% 以上，這使得使用傳統(tǒng)的欺詐評分引擎幾乎不可能檢測到它們。”

根據(jù)同期觀察到的樣本數(shù)量，Hydra、FluBot（又名 Cabassous）、Cerberus、Octo和ERMAC是最活躍的銀行木馬。

伴隨著這一趨勢的是，在 Google Play 商店中不斷發(fā)現(xiàn)新的 dropper 應(yīng)用程序，這些應(yīng)用程序以看似無害的生產(chǎn)力和實用程序應(yīng)用程序為幌子分發(fā)惡意軟件：

• Nano Cleaner (com.casualplay.leadbro)
• QuickScan (com.zynksoftware.docuscanapp)
• Chrome (com.talkleadihr)
• Play Store (com.girltold85)
• Pocket Screencaster (com.cutthousandjs)
• Chrome (com.biyitunixiko.populolo)
• Chrome (Mobile com.xifoforezuma.kebo)
• BAWAG PSK Security (com.qjlpfydjb.bpycogkzm)

更重要的是，設(shè)備上的欺詐（指從受害者設(shè)備發(fā)起惡意交易的隱秘方法）使得使用先前被盜的憑據(jù)登錄銀行應(yīng)用程序并進(jìn)行金融交易變得可行。

更糟糕的是，還觀察到銀行木馬不斷更新其功能，Octo 設(shè)計了一種改進(jìn)的方法，甚至在提交之前就從覆蓋屏幕竊取憑據(jù)。

研究人員解釋說：“這樣做是為了即使 [the] 受害者懷疑某些事情并在沒有實際按下覆蓋頁面中存在的虛假'登錄'的情況下關(guān)閉覆蓋，也能夠獲得憑據(jù)。”

去年 9 月出現(xiàn)的 ERMAC 已經(jīng)獲得了自己的顯著升級，允許它利用 Android 的Accessibility Service以自動方式從不同的加密貨幣錢包應(yīng)用程序中提取種子短語。

無障礙服務(wù)近年來一直是 Android 的致命弱點，它允許攻擊者利用合法的API為毫無戒心的用戶提供虛假的覆蓋屏幕并捕獲敏感信息。

去年，谷歌試圖解決這個問題，確保“只有旨在幫助殘疾人使用他們的設(shè)備或以其他方式克服他們的殘疾帶來的挑戰(zhàn)的服務(wù)才有資格宣布它們是無障礙工具。”

但這家科技巨頭在目前處于測試階段的 Android 13 中更進(jìn)一步，通過限制用戶從應(yīng)用商店外部側(cè)載的應(yīng)用的 API 訪問，有效地使?jié)撛谟泻?yīng)用更難濫用該服務(wù)。

也就是說，ThreatFabric 指出，它能夠通過調(diào)整安裝過程輕松繞過這些限制，這表明需要更嚴(yán)格的方法來應(yīng)對此類威脅。

建議用戶堅持從 Google Play 商店下載應(yīng)用程序，避免向無目的請求它們的應(yīng)用程序授予異常權(quán)限（例如，要求訪問聯(lián)系人列表的計算器應(yīng)用程序），并注意任何旨在安裝的網(wǎng)絡(luò)釣魚嘗試流氓應(yīng)用。

研究人員表示：“Android 操作系統(tǒng)的開放性既有好處也有壞處，因為惡意軟件繼續(xù)濫用合法功能，而即將到來的限制似乎幾乎不會干擾此類應(yīng)用程序的惡意意圖。”