最近又发现了另一组银行木马程序可以绕过Google Play的安全机制，这次攻击的目标是多家波兰银行。这款恶意软件成功潜入了Google Play商店，伪装成看似合法的应用程序“Crypto Monitor”、一款加密货币价格跟踪应用程序、以及“StorySaver”——一个从Instagram上下载故事的第三方工具。

除了提供承诺的功能外，该恶意应用程序还可以显示虚假的通知以及看起来似乎来自合法的银行应用程序的登录表单、获得进入假表单的凭证、还拦截了文本消息，以绕过基于二因素的SMS认证。

RiskIQ的研究人员最近在Google Play上发现了同样的木马病毒，只是伪装形式不同。并在11月9日的一份报告中公布了他们对这一威胁的分析。

恶意应用程序

我们发现的第一个恶意应用程序——“Crypto Monitor”——于2017年11月25日被上传至该商店，其开发者名为walltestudio。另一款名为“StorySaver”的应用程序名于11月29日在Google Play上发布，其开发者名叫kirillsamsonov45。截止到12月4日，我们向Google报告时，这些应用的下载量已经达到了1000-5000次。这两款应用都已从Google Play商店中移除。

图1  Google Play上发现的恶意程序

在恶意应用程序发布后，他们将被攻击的设备上安装的应用程序与目标银行应用程序列表进行比较，有14家波兰银行的官方应用程序成为可攻击目标(详细的银行应用程序列表在本文末尾列出)。

如果设备上安装了14个银行应用程序中的任何一个，那么该恶意软件就会显示模仿目标合法应用程序的假登录表单。上述恶意软件的活动可能发生在用户不采取任何行动的情况下，或者是在用户点击恶意软件显示的虚假通知后，该虚假通知看起来似乎来自银行。

图2恶意应用程序 “StorySaver”显示的虚假通知  

图3左侧:假登表单;右:合法的登录表单

ESET的安全系统检测发现威胁是Android/Spy.Banker.QL并防止它被安装。

ESET遥测技术显示，96%的探测来自波兰(剩下的4%来自奥地利)，显然是由于当地的社会工程活动推广该恶意软件。

如何保证安全？

好消息是，这款特殊的银行恶意软件没使用任何先进的技术来确保其在受影响的设备上持续存在。因此，如果你已经安装了上面提到的恶意程序中的任何一款，我们可以通过Settings > (General) > Application manager/Apps，查找“StorySaver” 或者 “Crypto Monitor”，然后将其卸载。

然而，坏消息是，如果你在设备上已经安装了其中一款恶意应用，并且在设备上使用过下面列出的14个目标银行应用中的任何一个，黑客可能已经可以访问你的银行账户了。我们建议你检查自己的银行帐户是否有可疑的交易，并认真考虑更换密码。

为了避免将来成为移动恶意软件的受害者，一定要养成总是检查应用程序的评分和评论的习惯，注意授予应用程序的权限，并使用一个声誉良好的移动安全解决方案来检测和阻止最新的威胁。

图4目标银行应用程序的图标