移动应用程序的数量正在迅速增加,但安全风险也随之增加。TeaBot远程访问(TRAT)木马于2021年初出现,用于窃取受害者的凭据和短信,目前仍然猖獗。行为生物识别是克服移动恶意软件开发挑战的关键。在过去十年中,移动设备的使用呈指数级增长。目前全球约有53亿独立手机用户,其中超过90%的人上网。移动设备平均安装了约40个应用程序,预计到今年年底应用程序总下载量将超过2500亿次。随着移动设备和应用程序数量的快速增长,网络攻击的数量也大幅增加,犯罪分子越来越关注银行应用程序的渗透。移动渗透的手段越来越多样化、复杂化、可升级——TeaBotRAT木马也不例外,目前已经渗透到全球的银行、加密货币交易所和数字保险提供商。并造成了损害。然而,行为生物识别技术提供了一种将风险降至最低的关键措施。移动设备社会工程攻击在大多数情况下,网络攻击从复杂的社会工程攻击开始,目的是让用户将恶意软件下载到他们的终端设备上。这些木马程序通常以网络钓鱼电子邮件、短信或虚假应用程序的形式出现。木马随后会自行安装,让黑客能够收集信息并加载更多恶意软件。例如,TeaBotRAT特洛伊木马使网络犯罪分子能够获得对设备的管理访问权限并拦截银行应用程序凭据,甚至是一次性密码。据调查,每24起诈骗案件中就有1起涉及TeaBotRAT攻击。HTML覆盖攻击也用于获取关键数据。在大多数情况下,智能手机上银行应用程序的用户并不知道这种行为。TeaBot攻击的历史恶意软件检测依赖于传统的防病毒技术,该技术搜索可疑文件的名称并定期检查应用程序及其哈希值以查找恶意软件。另一方面,近年来这些策略变得不那么有效了。这是因为,为了避免被防病毒软件检测到,黑客创建了带有更改文件名的恶意软件。去年,TeaBot恶意软件攻击(在德国也称为Anatsa)成为行业媒体的头条新闻。恶意代码开发人员试图通过将恶意软件伪装成无害应用程序来诱骗受害者下载恶意软件。TeaBot配备RAT功能,支持多种语言。它们通过Play商店外的恶意应用程序传播,例如VLCMediaPlayer、UPS和DHL应用程序。为了大规模传播恶意软件,黑客使用了所谓的隐藏攻击:受害者收到一条带有应用程序链接的短信,并用它来下载木马。另一个传播是一个虚假的弹出窗口,它下载并安装TeaBot,将自身实现为Android服务并在后台运行。这使得它可以永久嵌入终端设备中而不被检测到。下载后,它会获得广泛的权限并立即开始扫描设备上已安装的应用程序。TeaBot木马通过远程控制受害者的智能手机有效地接管了用户的移动设备。它可以读取短消息并将它们转发到命令和控制服务器,从而能够绕过一次性密码(OTP)预防措施。它可以访问批准通知并具有日志记录功能,可以禁用GooglePlayProtect并发起覆盖攻击。Teabot通过从命令和控制服务器为目标应用程序加载特制登录页面来实现这一点。放置在银行应用程序上的网络钓鱼页面。在这里,用户的凭据通过键盘记录收集并转发到黑客控制的命令和控制服务器。TeaBot主要针对银行和加密货币应用程序,但恶意软件也会从其他已安装的应用程序收集信息。受害者几乎不可能将其删除。如果犯罪分子获得登录和帐户数据的访问权限并能够使用它们进行转账,那么经济损失可能是灾难性的。行为生物识别:检测移动恶意软件检测TeaBotRAT的一种方法是使用基于行为生物识别的解决方案。借助这项技术,银行能够识别是否有真实用户在操作设备,或者移动设备是否受到恶意软件通过RAT的远程控制。恶意软件与用户的行为方式不同的一个例子是导航速度。诈骗分子在控制设备的同时,非常熟悉支付流程,快速执行支付,避免被受害人发现。基于行为生物识别的技术将用户行为与之前的客户会话进行匹配,以确定一致性和意图。用户拿着移动设备的方式是另一个指标:在欺诈会话中,它可能在会话期间使用桌面设备,而真正的用户则拿着他们的智能手机四处走动。还可以分析和匹配触摸和滑动模式。在TeaBotRAT攻击的情况下,触摸区域通常是不可见的,这表明终端正在被远程控制。如果在与前一次会话不同的位置检测到操作,则表明真实用户在会话期间无法控制设备。如果该技术根据行为生物特征识别出许多欺诈因素,它就会提醒银行的安全专家。使用行为生物识别和机器学习,金融机构可以在客户遭受经济损失之前进行预防性干预以防止欺诈。
