新型木马攻击活动攻击数百个加密货币钱包和银行应用程序。

网络安全研究人员发现了四个活跃的安卓恶意软件家族，这些恶意软件正在攻击超过 800 个应用程序，其中包括加密货币钱包和银行应用程序。这些恶意软件使用的技术手段是大多数传统安全工具无法检测到的。.

Zimperium 的 zLabs 团队发布了 tracRecruitRat、SaferRat、Astrinox 和 Massiv 这几种木马程序的成果。.

根据该公司的研究，每个家庭都有自己的指挥控制网络，他们利用该网络窃取登录信息、接管金融交易，并从受感染的设备中获取用户数据。.

加密货币和银行应用程序面临来自多种恶意软件的新威胁

这些恶意软件家族对任何在安卓系统上管理加密货币的人都构成直接威胁。.

一旦安装，这些木马程序就能在真实的加密货币和银行应用程序上叠加虚假的登录界面，实时窃取密码和其他私人信息。然后，该恶意软件会在真实的应用程序界面上覆盖一个虚假的HTML页面，从而形成该公司所称的“极具说服力的欺骗性外壳”。

Zimperium 的安全研究人员写道：“该恶意软件利用辅助功能服务监控前台，从而检测到受害者启动金融应用程序的确切时刻。”.

指出 报告，这些木马程序的功能不仅限于窃取dent。它们还可以捕获一次性密码、将设备屏幕实时传输给攻击者、隐藏自身应用程序图标，并阻止用户卸载它们。

每个竞选活动都会使用不同的诱饵来吸引人们上当。.

SaferRat 利用虚假网站传播，这些网站承诺免费提供高级流媒体服务。RecruitRat 则将恶意程序隐藏在求职申请流程中，将目标用户引导至钓鱼网站，诱骗他们下载恶意 APK 文件。.

Astrinox 也采用了类似的招聘方式，使用域名 xhire[.]cc。根据访问该网站所使用的设备，网站会显示不同的内容。.

安卓用户被要求下载一个APK文件，而iOS用户则看到一个类似 苹果 应用商店的页面。然而，安全研究人员并未发现任何证据表明iOS系统实际上已被黑客入侵。

无法确认 Massiv 在研究周期中的分发情况。.

这四个木马程序都利用了网络钓鱼基础设施、短信诈骗和社会工程手段，利用人们急于行动或好奇的心理，诱使他们侧载有害应用程序。.

加密恶意软件可逃避检测

这些攻击活动旨在绕过安全工具。.

研究人员发现，这些恶意软件家族使用高级反分析技术和对 Android 应用程序包 (APK) 的结构篡改，以保持该公司所谓的“针对传统基于特征码的安全机制的近乎零检测率”。

网络通信也会混入常规流量中。这些木马程序使用 HTTPS 和 WebSocket 连接与其命令服务器通信。某些版本还会在这些连接之上添加额外的加密层。.

另一个重要因素是持久性。现代安卓银行木马不再使用简单的单阶段感染，而是采用多阶段安装流程，旨在绕过安卓不断变化的权限模型。安卓的权限模型使得应用程序更难在未经用户明确许可的情况下执行某些操作。.

该报告并未指明dent具体加密货币钱包或 交易所 。但由于存在叠加攻击、密码拦截和屏幕串流等技术，任何基于安卓系统的加密货币应用都可能面临风险，前提是用户从谷歌应用商店之外安装了恶意APK文件。

通过短信、招聘信息或促销网站上的链接下载应用程序仍然是移动恶意软件进入智能手机的有效途径之一。.

使用安卓设备管理加密货币的用户应该只使用官方应用商店，并警惕弹出式消息要求他们下载某些内容。.