超过 1,000 个 Godfather 移动银行木马样本在全球数十个国家/地区传播,针对数百个银行应用程序。
Godfather 于 2022 年首次被发现,它可以记录屏幕和击键、拦截双因素身份验证 (2FA) 通话和短信、发起银行转账等,并迅速成为全球最广泛的恶意软件即服务产品之一。网络犯罪,尤其是移动网络犯罪。根据 Zimperium 的 2023 年“移动银行抢劫报告”, 截至去年年底,Godfather 的目标是分布在 237 个国家的 57 个银行应用程序。其附属机构将被盗的财务信息泄露到至少九个国家,主要在欧洲,包括美国。
所有这些成功引起了人们的关注因此,为了防止安全软件破坏聚会,Godfather 的开发人员一直在以接近工业规模的方式自动为客户生成新样本。
其他各个领域的移动恶意软件开发人员也开始做同样的事情。 Zimperium 首席科学家 Nico Chiaraviglio 警告说:“我们看到恶意软件活动开始变得越来越大。” 关于此和其他移动恶意软件趋势的会议 五月在 RSAC。
除了 Godfather 和其他已知家族之外,Chiaraviglio 还在追踪一个规模更大、仍处于保密状态的移动恶意软件家族,拥有超过 100,000 个独特的野外样本。 “这太疯狂了,”他说。 “我们以前从未在单个恶意软件中见过如此数量的样本。这绝对是一个趋势。”
银行木马产生数百个样本
移动安全已经远远落后于桌面安全。 “在 90 年代,没有人真正在台式电脑上使用防病毒软件,而这正是我们现在的处境。如今,只有四分之一的用户真正使用某种移动保护。 85% 的设备完全不受保护,而桌面设备的这一比例为 XNUMX%。”Chiaraviglio 感叹道。
与此同时,移动威胁正在迅速升级。他们这样做的一种方法是生成如此多的不同迭代,以至于防病毒程序(通过其独特的签名来分析恶意软件)无法将一种感染与下一种感染关联起来。
根据 Chiaraviglio 的说法,在 2022 年首次发现时,野外的《教父》样本还不到 10 个。到去年年底,这个数字增加了一百倍。
其开发人员显然一直在为客户自动生成独特的样本,以帮助他们避免检测。 “他们可以只是编写所有内容的脚本——这将是一种自动化的方法。另一种方法是 使用大型语言模型,因为代码辅助确实可以加快开发过程,”Chiaraviglio 说。
其他银行木马开发商也采用了相同的方法,但规模较小。 498 月,Zimperium 统计了 Godfather 的紧密竞争对手的 XNUMX 个样本, 关系,300 个 Saderat 样本,以及 123 个 像素海盗.
安全软件能跟上吗?
通过签名标记恶意软件的安全解决方案将很难跟踪每个系列的成百上千个样本。
Chiaraviglio 说:“也许不同样本之间存在大量代码重用。”他建议自适应解决方案可以将相关恶意软件与不同签名关联起来。或者,防御者可以使用人工智能 (AI) 来关注恶意软件的行为,而不是代码本身。 Chiaraviglio 说,有了可以做到这一点的模型,“无论你对代码或应用程序的外观进行多少更改,我们仍然能够检测到它。”
但是,他承认,“同时,这始终是一场比赛。我们做一些事情[调整],然后攻击者做一些事情来进化到我们的预测。 [例如],他们可以要求[大型语言模型]尽可能多地改变他们的代码。这将是多态恶意软件的领域,这种情况在移动设备上并不常见,但我们可能会开始看到更多这种情况。”
