为窃取Android手机PIN码,这个恶意软件路子有多野?
创始人
2025-07-09 13:10:32
0

变色龙安卓银行木马最近以发布了最新的版本并重出江湖,它采用了一种非常“野”的方式来接管设备——禁用指纹和面部解锁功能,以窃取设备的PIN码。但不得不说,确实可以实现窃取Android手机PIN码。

它通过使用HTML页面的技巧来获取访问辅助服务的权限,以及一种干扰生物识别操作的方法,来窃取PIN码并随意解锁设备。

今年四月份发现的变色龙早期版本冒充澳大利亚政府机构、银行以及CoinSpot加密货币交易所,对被感染的设备进行键盘记录、覆盖注入、窃取Cookie和短信。

ThreatFabric的研究人员一直在跟踪这款恶意软件,他们报告称,目前该恶意软件通过伪装成Google Chrome的Zombinder服务进行分发。

Zombinder将恶意软件“粘贴”到合法的安卓应用程序上,这样受害者就可以享受他们原本意图安装的应用程序的全部功能,从而降低了他们怀疑后台运行危险代码的可能性。

该平台声称其恶意软件捆绑包在运行时无法被检测到,可以绕过Google Protect的警报,并规避在被感染设备上运行的任何杀毒产品。

伪装成Google Chrome的携带变色龙恶意软件的APK文件(ThreatFabric)

新版变色龙特性

最新变色龙变体的首个新特性是能够在运行Android 13及更高版本的设备上显示HTML页面,提示受害者授予应用程序使用辅助服务的权限。

Android 13及更高版本受到一项名为“受限设置”的安全特性的保护,该特性可以阻止危险权限的批准,如辅助功能权限,恶意软件可以利用该权限窃取屏幕内容、授予自身额外权限和执行导航手势。

当变色龙检测到设备运行的是Android 13或14时,它会加载一个HTML页面,指导用户手动过程以启用应用的辅助功能,从而绕过系统的保护。

变色龙的HTML页面提示(ThreatFabric)

第二个值得注意的新特性是能够通过使用辅助服务强制设备回退到PIN码或密码认证,从而中断设备上的生物识别操作,如指纹解锁和面部解锁。

该恶意软件会捕获受害者输入的任何PIN码和密码以解锁他们的设备,并且稍后可以随意使用这些凭据来解锁设备,以便在不被发现的情况下执行恶意活动。

Java代码片段干扰Android上的生物识别服务(ThreatFabric)

ThreatFabric报告称,变色龙通过AlarmManager API增加了任务调度功能,以管理活动周期并定义活动类型。根据辅助功能是否启用,恶意软件会适应性地发起覆盖攻击或执行应用使用数据收集,以决定注入的最佳时机。

ThreatFabric警告说:“这些增强功能提升了新变色龙变种的复杂性和适应性,使其成为不断变化的移动银行木马威胁环境中更为强大的威胁。”

为了防范变色龙威胁,避免从非官方渠道下载APK(Android安装包),因为这是Zombinder服务的主要分发方式。此外,确保Play Protect始终处于启用状态,并定期运行扫描,以确保您的设备没有恶意软件和广告软件。

参考来源:https://www.bleepingcomputer.com/news/security/android-malware-chameleon-disables-fingerprint-unlock-to-steal-pins/

相关内容

热门资讯

如何允许远程连接到MySQL数... [[277004]]【51CTO.com快译】默认情况下,MySQL服务器仅侦听来自localhos...
如何利用交换机和端口设置来管理... 在网络管理中,总是有些人让管理员头疼。下面我们就将介绍一下一个网管员利用交换机以及端口设置等来进行D...
施耐德电气数据中心整体解决方案... 近日,全球能效管理专家施耐德电气正式启动大型体验活动“能效中国行——2012卡车巡展”,作为该活动的...
20个非常棒的扁平设计免费资源 Apple设备的平面图标PSD免费平板UI 平板UI套件24平图标Freen平板UI套件PSD径向平...
德国电信门户网站可实时显示全球... 德国电信周三推出一个门户网站,直观地实时提供其安装在全球各地的传感器网络检测到的网络攻击状况。该网站...
为啥国人偏爱 Mybatis,... 关于 SQL 和 ORM 的争论,永远都不会终止,我也一直在思考这个问题。昨天又跟群里的小伙伴进行...
《非诚勿扰》红人闫凤娇被曝厕所... 【51CTO.com 综合消息360安全专家提醒说,“闫凤娇”、“非诚勿扰”已经被黑客盯上成为了“木...
2012年第四季度互联网状况报... [[71653]]  北京时间4月25日消息,据国外媒体报道,全球知名的云平台公司Akamai Te...