据外媒 12 月 20 日报道，捷克软件公司 Avast 近日发现，一款新型 Android 恶意软件 Catelites Bot 伪装成 2200 多家银行（包括桑坦德银行和巴克莱银行等）应用软件，利用“屏幕覆盖攻击”窃取用户银行账户与密码信息。 [出自:jiwo.org]

Avast  在其博文中指出，Catelites Bot 与一款由俄罗斯网络黑帮发布的 CronBot 有一些相似之处， 因此研究人员认为 Catelites Bot 也可能与该黑帮有关联。

据报道，该网络黑帮近期已被警方捣毁，曾利用 “ CronBot ” 木马感染了超过 100 万用户，盗取金额达 90 万美元。

虽然没有任何证据表明恶意软件 Catelites Bot 的开发者与 CronBot 有关联，但目前该恶意开发者可能已经掌握了 CronBot 的相关技术并将其用于自己的攻击活动中。

Catelites Bot 攻击方式

研究人员透露，Catelites Bot 主要通过第三方应用程序商店进行传播。近几个月来，几乎每周都有“虚假应用程序”攻击 Android 设备的案例。恶意软件 Catelites Bot 首先会尝试获取管理员权限，然后自动并交互式地从 Google Play 商店中提取其他 Android 银行应用程序的图标和名称，之后再利用“屏幕覆盖攻击”——即伪造的银行 APP 登录界面覆盖其他正规应用程序的方式来欺骗用户，以便于获取用户名、密码和信用卡信息。（“屏幕覆盖攻击”的典型代表，编者注）

虽然伪造的登录界面和真实的应用程序界面不完全相同，但黑客能够通过广撒网的方式达到目的。通常情况下，新 Android 用户可能更容易受骗上当。

“目前为止， Catelites Bot 恶意软件主要针对的是俄罗斯用户群体，它还处于一个早期测试阶段，或将扩散至全球更大范围，就统计结果显示目前至少有 9000名用户设备受到感染 ” 研究人员表示。

此外，Avast 和 SfyLabs 团队发现恶意软件 Catelites Bot 还有一些尚未激活的功能，如文本拦截（通常需要访问双重验证码）、擦除设备数据、锁定智能手机、访问电话号码、查看消息对话、强制密码解锁、甚至更改扬声器音量等。

研究人员建议，由于 Catelites Bot 是通过非官方渠道传播的，因此对用户而言将手机设置为仅接受来自官方应用商店（如 Google Play）的应用下载非常重要。同时，通过确认程序界面来检查银行应用是否被覆盖也是预防恶意软件攻击的必要措施。