新闻链接：http://www.seehand.com/news/1383.html
新闻时间：2016.02.24
新闻正文： 

   一种新发现的Android恶意软件在窃取网络银行登录凭据的同时，能够劫持设备上的文件作为交换，索取赎金，实现令人不耻的所谓“一箭双雕”。

该恶意软件名称为“Xbot”，目前尚未广泛传播，而且看起来它只以澳大利亚和俄罗斯的设备为攻击目标，Palo Alto网络公司的研究人员在2月16日（周二）的一篇博客中写道。

但是，他们相信，无论谁是Xbot的幕后推手，都会试图扩大其攻击目标的范围。

“由于作者似乎花费了大量的时间和精力，从而使得该木马变得更加复杂而且难以检测，它感染用户并且保持隐蔽的能力有很大可能性只会增加。”Palo Alto公司写道。

Xbot利用名为“活动劫持”（activity hijacking）的技术实施攻击，旨在窃取网络银行以及个人的信息详情。

它实质上使得恶意软件能够在用户尝试运行某应用时执行不同的动作。但用户并不清楚他们实际上在使用错误的程序或者功能。

活动劫持利用了Android 5.0之前版本所具有的功能。Google公司自5.0版开始已经开发了相应的防御功能，因此仅未升级的老版本设备将会受到影响。

在其中的一种攻击类型中，Xbot会监听用户已经运行的应用。如果运行的应用为特定的网络银行应用，Xbot将会进行干预并显示伪装成真实APP的界面。

Palo Alto称，上述伪装的界面实际上是从一个命令与控制服务器下载的，并用WebView显示出来。合法的应用事实上并未被篡改。

“目前，我们已经发现了7种不同的伪装界面，”Palo Alto公司写道，“我们发现其中有6种伪装成澳大利亚最流行的银行的界面。这些界面与所涉及的银行的官方登录界面非常相像。如果受害者填写了其中的表格，则银行账号、密码及令牌均会被发送给攻击者”，即命令与控制服务器。

Xbot还通过WebView显示另一界面，称该设备已被知名的勒索程序CryptoLocker感染。勒索软件加密了设备上的文件，然后要求支付赎金以换取密钥。在本案中，攻击者要求通过一伪造的PayPal网站支付100美元赎金。

Xbot实际上会加密设备外部储存上的文件。然而，其加密算法非常弱，还是存在恢复文件的可能，Palo Alto公司写道。

Xbot还可能会擦除手机上的个人数据，例如联系人、短信和手机号码，并将数据发送给攻击者。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法