行动资安业者Zimperium本周发布了《行动银行抢劫报告》(Mobile Banking Heists Report),指出银行木马程式正在不断地进化,这一年来总计有29个恶意程式家族、锁定全球61个国家的1,800个银行行动程式发动攻击,最大的受害者是美国,有109家银行成为骇客目标,随后则是英国的48家银行与义大利的44家银行。
这些银行木马程式通常伪装成合法程式以吸引使用者下载,但它们其实含有恶意程式,意在渗透安装在使用者手机上的银行程式,以窃取这些银行程式的凭证、金融资讯或是个人身分资讯,有些则能执行未经授权的转帐。
Zimperium去年的调查仅发现有10个恶意程式家族、锁定600个银行程式发动攻击,但今年不管是恶意程式家族或攻击目标的数量都显著地增加了。Zimperium分析,骇客扩大投资以改善银行木马程式的能力,使其能够绕过安全机制、逃过行动装置上的侦测,还能长驻,而传统安全实践则未能跟上骇客的脚步。此外,去年骇客的攻击对象以银行及支付程式为主,今年则扩大至加密货币、社交及传讯程式,但传统银行仍占了61%。
今年的前五大恶意程式家族依序是Hook、Godfather、Teabot、Xenomorph与Exobot,它们分别针对618家、419家、414家、400家与371家银行发动攻击。最受到骇客青睐的金融程式包括Caixa、Intesa Sanpaolo Mobile、Bankinter Mobile、YouApp Banco BPM Mobile、Capital One Mobile、EVO Banco móvil、Kutxabank、Bank of America与Wells Fargo,至少都有超过10个恶意程式家族锁定它们。
此外,近年来骇客已逐渐将恶意程式发展成一个产业,建立看似合法的公司来提供恶意软体即服务(Malware-as-a-Service,MaaS),让更多缺乏开发专长的人得以进入此一市场。
另一项值得注意的是,骇客已发展出自动转帐技术,在成功取得受害者的银行凭证后,会先检查使用者的帐户余额以决定转帐金额,并伺机执行转帐,接著欺骗使用者输入转帐所需的一次性密码,并将帐款转至骇客所控制的帐户,之后还可能会删除交易提醒或应用程式通知以避免被察觉。
Zimperium建议金融业者应该要提高程式码的保护技术,直至其攻击成本高过骇客不法所得,也应提高运行能见度以全面监控威胁行为,或是部署装置上的保护机制来回应即时威胁。