Android 恶意软件家族：瞄准 800+ 银行与加密应用，检测率接近零：Zimperium

Gate 新闻消息，4月25日——网络安全公司 Zimperium 已识别出四个正在活动的恶意软件家族——RecruitRat、SaferRat、Astrinox 和 Massiv——它们正在针对银行、加密货币和社交媒体等领域的 800 多个应用程序。这些活动采用先进的反分析技术和结构性 APK 篡改，以维持针对基于传统特征码的安全机制的近乎零检测率。

攻击者使用钓鱼网站、虚假工作邀约、虚假的软件更新、短信诈骗以及促销诱饵来诱骗用户安装恶意的 Android 应用程序。一旦安装，恶意软件会请求“辅助功能”权限以隐藏应用图标，阻止卸载尝试，通过假冒锁屏窃取 PIN 码和密码，拦截一次性口令（OTP），记录实时设备屏幕，并在合法的银行或加密应用程序上叠加仿冒的登录页面。

叠加攻击构成凭据窃取策略的核心。恶意软件使用辅助功能服务监控前台，并检测到受害者启动金融应用时，再获取恶意的 HTML 载荷并将其叠加到合法界面上，从而制造出令人信服的欺骗性假面。

这些活动使用 HTTPS 和 WebSocket 通信，将恶意流量与正常应用活动混合；其中一些变种还采用额外的加密层，以进一步规避检测。