手机银行木马新时代：Svpeng 通过无障碍访问服务窃取用户敏感数据

据外媒报道，卡巴斯基实验室研究人员于7月中旬发现手机银行木马Svpeng新添键盘记录功能，允许黑客通过无障碍访问服务窃取用户敏感数据。

无障碍访问服务通常为残疾用户或暂时无法与设备完全交互的用户提供用户界面（UI）。倘若黑客滥用此系统功能，不仅能够从设备上的其他应用程序中窃取敏感数据，还可获取管理员权限。此外，该木马新增功能还具备卸载拦截功能。

相关数据表明，尽管当前黑客尚未大范围部署 Svpeng，但受害目标却跨越 23 个国家，其中多数受害用户位于俄罗斯（29％）、德国（27％）、土耳其（15％）、波兰（6％）与法国（3％）。值得注意的是，即使大部分受害用户位于俄罗斯，但该木马程序并不会在俄语设备上运行，因为这是俄罗斯黑客规避侦查与逮捕的标准策略。

Svpeng 恶意软件家族一向以创新闻名。自2013年以来，Svpeng 是首批攻击银行短信业务的木马软件，允许黑客利用网络钓鱼页面覆盖其他应用程序的方式窃取登录凭据、屏蔽系统设备并盗取银行账户资金。2016年，黑客通过 AdSense 与 Chrome 浏览器漏洞肆意传播恶意木马Svpeng，使其跻身高危手机恶意软件行列。

有趣的是，一旦设备感染 Svpeng 后，该木马就会自动检测设备运行语言，如果不是俄语，设备将会立即通过无障碍服务访问其他应用程序的用户界面并窃取敏感数据。此外，每当用户使用键盘按键时，该木马都会截图并上传至恶意服务器。

近期，研究人员从 Svpeng 命令与控制服务器（ CnC ）拦截到一个加密配置文件，解密后可查找受攻击的应用程序，进而获取钓鱼网址。据悉，该配置文件中不仅包含用于 PayPal 与 eBay 移动应用的钓鱼网址，还包括一款手机赚钱软件应用 Speedway。

目前，黑客还通过在恶意网站上伪造闪存播放器的方式传播木马 Svpeng。据称，该木马甚至可以在最新 Android 版本与安装更新的所有设备上运行。研究人员表示，黑客仅需访问其中一个系统功能，即可获取所有必要的附加权限。

原作者：Roman Unuchek， 译者：青楚，译审：游弋

from hackernews.cc.thanks for it.