超過 1,000 個 Godfather 行動銀行木馬樣本在全球數十個國家傳播,針對數百個銀行應用程式。
Godfather 於 2022 年首次被發現,它可以記錄螢幕和按鍵、攔截雙重認證 (2FA) 通話和簡訊、發起銀行轉帳等,並迅速成為全球最廣泛的惡意軟體即服務產品之一。 ,尤其是行動網路犯罪。根據 Zimperium 的 2023 年“移動銀行搶劫報告”, 截至去年年底,Godfather 的目標是分佈在 237 個國家的 57 個銀行應用程式。其附屬機構將被盜的財務資訊洩漏到至少九個國家,主要在歐洲,包括美國。
所有這些成功引起了人們的關注因此,為了防止安全軟體破壞聚會,Godfather 的開發人員一直在以接近工業規模的方式自動為客戶產生新樣本。
其他各個領域的行動惡意軟體開發人員也開始做同樣的事情。 Zimperium 首席科學家 Nico Chiaraviglio 警告說:“我們看到惡意軟體活動開始變得越來越大。” 關於此和其他行動惡意軟體趨勢的會議 五月在 RSAC。
除了 Godfather 和其他已知家族之外,Chiaraviglio 還在追蹤一個規模更大、仍處於保密狀態的行動惡意軟體家族,擁有超過 100,000 萬個獨特的野外樣本。 「這太瘋狂了,」他說。 「我們以前從未在單一惡意軟體中見過如此數量的樣本。這絕對是一個趨勢。
銀行木馬產生數百個樣本
行動安全已經遠遠落後於桌面安全。 「在 90 年代,沒有人真正在桌上型電腦上使用防毒軟體,而這正是我們現在的處境。如今,只有四分之一的用戶真正使用某種行動保護。 85% 的設備完全不受保護,而桌面設備的這一比例為 XNUMX%。
同時,行動威脅正在迅速升級。他們這樣做的一種方法是產生如此多的不同迭代,以至於防毒程式(透過其獨特的簽名來分析惡意軟體)無法將一種感染與下一種感染關聯起來。
根據 Chiaraviglio 的說法,在 2022 年首次發現時,野外的《教父》樣本還不到 10 個。到去年年底,這個數字增加了一百倍。
其開發人員顯然一直在為客戶自動產生獨特的樣本,以幫助他們避免檢測。 「他們可以只是編寫所有內容的腳本——這將是一種自動化的方法。另一種方法是 使用大型語言模型,因為程式碼輔助確實可以加快開發過程,」Chiaraviglio 說。
其他銀行木馬開發商也採用了相同的方法,但規模較小。 498 月,Zimperium 統計了 XNUMX 個《教父》最接近競爭對手的樣本, 關係,300 個 Saderat 樣本,以及 123 個 像素海盜.
安全軟體能跟上嗎?
透過簽名標記惡意軟體的安全解決方案將很難追蹤每個系列的數百個樣本。
Chiaraviglio 說:「也許不同樣本之間存在大量程式碼重用。」他建議自適應解決方案可以將相關惡意軟體與不同簽章關聯起來。或者,防禦者可以使用人工智慧 (AI) 來關注惡意軟體的行為,而不是程式碼本身。 Chiaraviglio 說,有了可以做到這一點的模型,“無論你對程式碼或應用程式的外觀進行多少更改,我們仍然能夠檢測到它。”
但是,他承認,「同時,這始終是一場比賽。我們做一些事情[調整],然後攻擊者做一些事情來進化到我們的預測。 [例如],他們可以要求[大型語言模型]盡可能多地改變他們的程式碼。這將是多態惡意軟體的領域,這種情況在行動裝置上並不常見,但我們可能會開始看到更多這種情況。
