来自 ThreatFabric 的研究人员发现并分析了一种新的 Android 恶意软件，被称为 Alien 的恶意软件具有多种功能，可以窃取 226 个应用程序的证书。

Alien 首次出现在今年年初的威胁领域，它的销售模式是 malwareas -a- service (MaaS)，并在几个地下黑客论坛上做广告。

据研究人员称，Alien 借用了 Cerberus 恶意软件的部分源代码。

ThreatFabric 指出，Cerberus 的运营商之所以试图出售他们的项目，是因为该恶意软件中的几个问题由于犯罪团伙的开发团队的漏洞而长期未得到解决。在解决问题的延迟允许谷歌发挥保护检测威胁对所有感染的设备。

Alien 没有受到同样的问题的影响，这是其 MaaS 模式成功的原因

Alien 被认为是下一代的银行木马，它还在代码库中实现了远程访问功能。

在 Alien 中实现的功能列表如下:

    叠加：动态（从 C2 获得的本地注入）

    Keylogging

    远程访问

    短信收集：短信列表

    短信收集：短信转发

    设备信息收集

    联系人列表集合

    应用程序清单

    位置收集

    重叠式广告：目标列表更新

    短信：发送

    呼叫：USSD 请求拨打

    电话：电话转接

    远程操作：应用程序安装

    远程操作：App 启动

    远程操作：移除 App

    远程操作：显示任意 web 页面

    远程操作：Screen-locking

    通知：推送通知

    C2 弹性：辅助 C2 列表

    自我保护：隐藏应用程序图标

    自我保护：防止删除

    自我保护：Emulation-detection

    架构：模块化

该银行木马是多种欺诈操作背后的骗子的最佳选择。

专家们发现，Alien 能够显示 226 个其他 Android 应用程序的虚假登录页面，允许其运营商拦截凭证。

在 “Alien” 的情况下，除了身份验证 - 代码窃取和通知 - 嗅探器等高级功能外，该木马的功能相当普遍。对于许多木马，目标列表可以由承租人动态扩展，并应用于注册到僵尸网络的所有僵尸网络。本文附录中的目标应用程序发现的样本中观察到的目标的连接列表，到目前为止已增长到 226 个目标应用程序。研究人员发表的报告中写道。

“虽然很难预测 Alien 作者的下一步计划，但对他们来说，改进 RAT 病毒是合乎逻辑的，因为它目前是基于 TeamViewer (因此在设备上安装和执行时是可见的)。”

Alien 还能瞄准其他应用，包括 Gmail、Facebook、Telegram、Twitter、Snapchat、WhatsApp，以及加密货币应用

专家报告称，外国人攻击的大部分应用都是西班牙、土耳其、德国、美国、意大利、法国、波兰、澳大利亚和英国的金融机构使用的。

Alien Android银行木马，Cerberus恶意软件的强大继承者

其他的技术细节，包括指标的妥协 (IoCs) 包括在报告发布由威胁织物。

以上文章部分内容采集于网络，如有侵权请联系未来云客服处理，谢谢！