Movil Secure是什么

小編給大家分享一下Movil Secure是什么，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

前言

在Google Play上發現了一個名叫Movil Secure的惡意App，這款App應用了SMiShing技術（短信詐騙+網絡釣魚），主要針對的是西班牙語用戶。

實際上，Movil Secure是一款偽裝成移動令牌服務的虛假銀行App，顯而易見，它的開發者試圖用專業的品牌和復雜的用戶界面來誘騙用戶認為Movil Secure是合法的。除此之外，我們還發現了另外三個類似的偽造應用，這三個應用都屬于同一名開發者的。目前，Google已經將這些惡意App下架了。

MovilSecure于2018年10月19日上線，并在上線6天內達到了100+的下載量。之所以能夠達到這樣的下載量，很可能是因為這款App聲稱和西班牙的一家跨國銀行集團（BBVA）有聯系。實際上，這家銀行一直以技術支持服務而聞名，而且這家公司真正的移動端銀行業務App也被認為是目前業內最好的應用程序之一。

這款偽造App正是利用了BBVA在行業內的優勢，并通過偽裝成銀行移動令牌服務來感染用戶手機，但研究人員通過分析后發現，Movil Secure其實并不具備相應的功能。

這款惡意軟件軟件主要針對的是西班牙語用戶，它聲稱自己能夠識別BBVA的用戶，并為用戶提供授權交易服務。但是，研究人員在分析了Movil Secure的功能和行為之后，表示它其實可以被歸類為間諜軟件。而且當前版本的Movil Secure架構非常簡單，這可能意味著它只是研究人員在Google Play上發布的一個實驗性應用程序。

感染&攻擊機制

當Movil Secure首次啟動時，它會收集設備的識別信息，例如設備ID、操作系統版本和國家代碼等等。接下來，它會將這些信息發送至遠程惡意C2服務器，這一切都會在后臺悄悄完成，用戶是不會在手機屏幕上察覺到任何異樣的。

當我們訪問這個遠程惡意C2服務器時，我們看到了一個簡單的登錄頁面，這表明攻擊者專門開發了一個完整的管理系統來收集、組織和分析捕捉到的用戶數據。更重要的是，攻擊者很有可能會利用這些數據來發動一場大規模的網絡攻擊。

當然了，它要收集的數據可不僅僅只有設備標識信息而已，它還會獲取目標設備的SMS短信以及手機號。研究人員在對其惡意代碼進行了分析之后，發現了這款惡意軟件（間諜軟件）的主要目的。如下圖所示，當受感染設備收到了一條新的短信時，它會將短信的發送者（手機號）以及相應的內容發送至遠程C2服務器。這種類型的信息是非常有價值的，因為在目前的銀行交易系統中，絕大部分都是利用短信驗證碼的形式來授權銀行交易的。

目前，這款惡意軟件的開發者已經開始嘗試將收集到的數據使用到SMiShing惡意活動中了。

仔細分析了惡意App的開發者詳情之后，你會發現他的名下還有三款類似的惡意App。Evo和Bankia都是在西班牙非常受歡迎的銀行，而Compte de Credit跟任何一家大型金融機構都沒有一點關系。這三款惡意App都是在10月19日發布的，發布時間跟MovilSecure是一樣的。研究人員通過分析后發現，這些惡意App的運行機制跟Movil Secure其實是一樣的，它們都會收集受感染設備上的設備標識信息以及SMS短信數據，然后將它們發送至遠程C2服務器。

入侵威脅指標

SHA256

b168e64a02c3aed52b0c6f77a380420dd2495c3440c85a3b7ed99b8ac871d46ad8018d869254abd6e0b2fb33631fcc56c9f2e355c5d6f40701f71c1a73331cb3299e1eb8a1f13e1eb77a1c38e5cf7bbdc588db89d4eaad91e7fc95d156d986e524e7a8ed726efa463edec2e19ad4796cf4b97755b8fdf06dea4950c175c01f77

惡意軟件檢測名稱

AndroidOS_FlokiSpy.HRX

命令控制服務器

hxxps://backup.spykey-floki.org/add.php

以上是“Movil Secure是什么”這篇文章的所有內容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內容對大家有所幫助，如果還想學習更多知識，歡迎關注億速云行業資訊頻道！