在Google Play上检测能够清空数字货币包的恶意软件

计算机安全公司ESET的研究人员发现了一种能够清空数字货币包的银行木马，可在Google Play商店中找到。网络门户We Live Security在5月22日宣布了此消息。

研究人员在分析Android Google Play商店上可用的应用程序时，发现该恶意软件能够执行某些操作，例如从预安装的应用程序和电子邮件中窃取信息以及用户验证码，专门位于巴西。

根据该公司的声明，这种名为“ DEFENDER ID”的恶意软件仅要求受害方启用Android Accessibility Service，然后执行其有害功能，例如从恶意软件中扣除所有款项。银行帐户或加密货币投资组合，获取电子邮件帐户并访问用户的社交网络。

研究人员报告说，存在一些安全解决方案和机制，它们是Android操作系统的一部分，可作为Google Play检测恶意应用程序的保护屏障，但由于DEFENSOR ID应用程序中未获得许可，因此它们均未能激活任何警告。 。

DEFENSOR ID恶意软件的开发人员删除了其所有恶意功能，但违反了无障碍服务；他们从ESET指出，这就是计算机病毒设法渗透到应用程序商店的原因。

ESET公司认为，此应用程序旨在专门伤害南美国家/地区的用户，因为开发者的名称为“ Gas Brazil”，指的是该国家/地区通常在该计算机上使用的安全软件，原因是银行访问在线银行服务所需的条件。该系统由“ GAS Tecnologia”提供，该公司向银行业提供防止数字欺诈的保护。

DEFENSOR ID于今年2月3日发布，但自5月19日起，它就无法在Google Play上使用，因为ESET已于5月16日将其报告给Google。

他们在通知中强调，它看起来像是一个受信任的应用程序，它为每个用户提供了更高的安全性和保护，例如端到端加密货币。

该恶意软件的另一个功能是，它要求受害者启用“修改系统设置”权限。此后，该木马会将屏幕超时修改为10分钟，使您可以远程登录移动设备上的应用程序，然后窃取重要信息或进行银行交易。仅当用户使用计算机上的按钮锁定其设备时，才可以避免这种情况。

研究人员表示，英语版本的DEFENSOR ID不包含任何地理或语言限制。同样，还发现了另一个名为Digital Defender的恶意应用程序，该应用程序具有相同的C＆C服务器，但在进一步调查之前已从Google Play商店中删除。

同样，5月16日，印度计算机应急响应小组（CERT-In）警告说，存在名为EvenBot的移动银行木马。 EvenBot能够窃取链接到Paypal，Coinbase，Barclays等金融业务和数字货币包的信息，并旨在专门攻击具有Android操作系统的移动设备。

去年，发现了一种名为CookieMiner的恶意软件，该病毒会窃取凭据组合，其中包括来自Apple的Google Chrome和Safari Web浏览器的cookie。有了这些信息，病毒就可以绕过在线加密货币交易所和钱包的身份认证因素。此外，它还能够在受害者的计算机上安装挖矿软件。

正如Malwarebytes所解释的那样，恶意软件或恶意软件是会导致系统损坏的任何程序或恶意代码。恶意软件故意，敌对和侵入地入侵，损坏或禁用计算机，计算机系统，网络，平板电脑，移动设备，部分控制了设备的运行，从而干扰了它们的正常运行；所有这些目的都是为了非法赚钱。

特色图片由格尔德·阿尔特曼（Gerd Altmann）/ clipart.com