警惕！伪冒银行木马正在窃取你的银行卡信息，已影响31省份

时间：2020-12-21 作者：奇安信

分享到：

双十二期间，奇安信威胁情报中心移动安全团队监测发现，一个伪冒国内银行应用的信息窃取木马新家族“BYL”，展开了新一轮网络渗透传播。据奇安信数据监测雷达显示，该木马家族在短短四天内（截至2020年12月16日），已经蔓延至全国31个省（自治区和直辖市），大量用户受到影响。

据了解，早在2020年7月，奇安信威胁情报中心移动安全团队便首次揭露了该木马家族。为了绕过安全设备的检测规则，在新一轮攻击中，该团伙更换了全新的域名等网络资产。

发现网络钓鱼

分析发现，攻击团伙精心伪造了银行应用的钓鱼下载页面，诱使受害者下载并安装攻击团伙的假冒应用。应用启动后会，攻击团伙便可通过钓鱼页面窃取用户银行APP登陆凭证、姓名、身份证号、银行卡号、支付密码、验证码，并将窃取的信息传送回攻击者的服务器中。

已影响国内31个省（自治区、直辖市）

分析人员通过奇安信威胁情报平台（https://ti.qianxin.com/）进行进一步关联分析发现，该恶意家族使用的域名均是在2020年12月12日开通，截至12月16日，短短四天内该木马家族已经蔓延至全国31个省（自治区和直辖市）。

根据奇安信威胁情报中心大数据统计，该样本在12月12日投发的数天中，共影响到国内31个省（自治区和直辖市），受影响用户量级为千级，其中内蒙古8.7%、上海5.5%、四川5.1%为全国感染量最多的三个地区。

奇安信安全建议

针对普通用户如何避免遭受移动端上的攻击，奇安信威胁情报中心移动安全团队提供以下防护建议：

在正规的应用商店下载应用。国内的用户可以在手机自带的应用商店下载，国外用户可以在google play下载。不要安装不可信来源的应用、不要随便点击不明URL或者扫描安全性未知的二维码。

移动设备及时在可信网络环境下进行安全更新，不要轻易使用外来的网络环境。

对请求应用安装权限、激活设备管理器等权限的应用要特别谨慎，一般来说普通应用不会请求这些权限，特别是设备管理器，正常的应用机会没有这个需求。

确保安装有手机安全软件，进行实时保护个人财产安全；如安装奇安信移动安全产品。

目前，奇安信移动安全产品及威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC等，都已经支持对此类攻击的精确检测。

附录A：奇安信威胁情报中心移动安全团队

奇安信威胁情报中心移动安全团队一直致力移动安全领域及Android安全生态的研究。目前，奇安信的移动安全产品除了可以查杀常见的移动端病毒木马，也可以精准查杀时下流行的刷量、诈骗、博彩、违规、色情等黑产类软件。通过其内部分析系统可以有效支持对溯源分析等追踪。通过其高价值攻击发现流程已捕获到多起攻击事件，并在今年发布了多篇移动黑产报告，对外披露了三个APT组织活动，其中两个是首发的新APT组织（诺崇狮组织和此次的利刃鹰组织）。未来我们还会持续走在全球移动安全研究的前沿，第一时间追踪分析最新的移动安全事件、对国内移动相关的黑灰产攻击进行深入挖掘和跟踪，为维护移动端上的网络安全砥砺前行。

附录B：奇安信移动产品介绍

奇安信移动终端安全管理系统（天机）是面向公安、司法、政府、金融、运营商、能源、制造等行业客户，具有强终端管控和强终端安全特性的移动终端安全管理产品。产品基于奇安信在海量移动终端上的安全技术积淀与运营经验，从硬件、OS、应用、数据到链路等多层次的安全防护方案，确保企业数据和应用在移动终端的安全性。

奇安信移动态势感知系统是由奇安信态势感知事业部及其合作伙伴奇安信威胁情报中心移动团队合力推出的一个移动态势感知管理产品。不同于传统移动安全厂商着重于APP生产，发布环节，为客户提供APP加固、检测、分析等；移动态势感知面向具有监管责任的客户，更加着重于APP的下载，使用环节，摸清辖区范围内APP的使用情况，给客户提供APP违法检测、合规性分析、溯源等功能。

BCS2024

天守终端安全管理系统

企业动态