PIN-Stealing Android恶意软件-Schneier on Security

PIN-Stealing Android恶意软件

这是一个古老的恶意软件——变色龙安卓银行木马——现在禁用生物特征认证，以便窃取PIN:

第二个值得注意的新功能是，通过使用Accessibility服务强制回退到PIN或密码身份验证，可以中断设备上的生物特征操作，如指纹和面部解锁。

恶意软件会捕获受害者输入的任何PIN和密码以解锁其设备，然后可以使用它们随意解锁设备，以执行隐藏在视线之外的恶意活动。

标签：安卓,银行业务,生物测定学,恶意软件,PIN码

发布于2024年1月9日上午7:03•5条评论

克莱夫·罗宾逊•2024年1月9日上午9:25

@所有人，

显然，它将自己使用的“Zombinder”服务附加到用户下载的合法“Android包文件”（APK）上。

但从文章来看，Zombinder服务开发商/供应商声称

“它的恶意捆绑包在运行时无法检测到，绕过了Google Protect警报，并避开了受感染设备上运行的任何反病毒产品。”

这表明谷歌方面可能存在不足。

但是，正如他们所说，“引导用户浏览”HTML页面以绕过安全“受限设置”是另一个不错的选择。

然而，真正的问题是，

“谷歌能做些什么来限制或阻止这种攻击，并让操作系统仍然可行吗？”

由于最初阶段似乎都是通过误导用户来完成的（即曾经被视为社会工程的延伸）。

但它进一步表明，“Walled Gardens”和“Code Signing”缺乏安全机制，或者充其量是相当脆弱的安全机制。至少需要更强大的系统。

多年前，人们问“围墙花园”是否是一种窃取用户自由的方式，假设用户不易受到此类攻击…

我们真的能提供对用户安全的系统吗？

我想说是的，但诚实的回答可能是否定的。

MDK公司•2024年1月9日上午11:43

@克莱夫@所有

我同意你的观点，可能不会。至少不仅仅是谷歌Android等。SIEM集成可能会检测到这种活动。

潜伏者•2024年1月9日下午6:33

@克莱夫·罗宾逊

我们真的能提供对用户安全的系统吗？

还有一种说法是，拥有硬件意味着游戏结束。所以用户必须永远是自己最大的敌人。并不是所有用户，也不是所有时间都是这样，但在自我伤害后不得不清理是技术支持中最不愉快的部分。

我的银行可能是同谋，虽然它仍在唠叨，为什么我不在我的手机上使用他们的应用程序，避免他们版本的2FA登录带来的麻烦。

克莱夫·罗宾逊•2024年1月10日上午7:53

@潜伏者，

回复：有些人真的不明白…

如您所述，

“所以用户必须永远是自己最大的敌人”

但其他人更糟……以你为例，

“我的银行可能是同谋，但它仍在唠叨，为什么我不使用他们的应用程序……”

一个关于寻找新银行的简短而真实的故事。

我的意思是，我去过的所有顶级银行都有这种或那种形式的“网上银行”。你可能知道，与“安全消息传递应用程序”一样，它们只是系统的一部分，正如我之前反复说过的，从整个系统的工作方式来看，这个词的任何合理定义都不可能是安全的。

当你告诉对方你不想要他们的“加分垃圾”，“永远不会使用”，因为“它永远不会安全”时，他们会进入“我是一个销售机器人模式”，并不断尝试超越“不”这个词。

我甚至发现告诉他们，我保护的不仅仅是我，还有他们……因为这些机器人中很少有人意识到，推“上线”是银行高层的精神病，他们试图通过“终止工作”来削减劳动力和其他成本，如“支付机器人”。

他们有点看着你，好像你疯了……几年后，我所在的小镇上有五家银行或类似银行，现在只有一家，日子不多了，因为大多数员工都走了…

老实说，在其他潜在的就业市场上，成为一个银行机器人的前景非常有限。

如果你遵循“最接近最高点”的逻辑，他们的潜在客户有点倾向于优步驱动或亚马逊交付……但正如我们所知，优步和亚马逊都不希望“人力成本”，这就是为什么他们如此努力地寻找“机械机器人而非人类机器人”的原因…

如果你告诉银行机器人这一点，并说不使用“在线”，我将尽我所能阻止他们把机器人变成失业者，他们看起来好像你疯了一样…

但事实是，我不希望大街关闭，这在很多方面都是为了我自己的安全。是的，我可能会以高出15-50%的价格为这种安全付出高昂的代价……但我唯一一次尝试与亚马逊在线合作时，他们偷走了我的钱……所以100%的金钱损失，没有货物……这真的不是一笔好交易。

但使用高st并支付现金会给你一种匿名但有证书的形式。

如果你使用支付卡，你不仅可以被“跟踪”到地点，还可以被“追踪”到时间和日期。这一切都可以在没有法律监督的情况下找到，越来越多的自动跟踪系统被添加到“警卫劳工”中，例如那些拥有“警察权力”的人。你可能听说过英国政府颁布法令，“失业者”的银行记录将被“RoboDebt”系统公开审查，该系统旨在以任何可能的方式认定人们“有罪”，从而使他们受到反堕胎制裁。很明显，支付卡将是下一个选择。

获得现金和只使用现金是一种保护自己免受这种无保证和非法监视的方法，因为这会增加超出调查范围的监视成本。

然而，您有交易证书，通常会根据法律规定，提供“销售收据”的地点和时间。因此，如果你能安全地保护他们，你就有办法在法庭上为自己辩护。

为什么是“法庭”而不是“工党卫队质询”？记住，他们的工作不是伸张正义，而是找到有罪的人。

正如这里的人们应该知道的那样，劳动卫队对罪犯有固定的概念，归结起来就是最容易定罪的人。这是你被告知“不要与警方谈话”的主要原因，因为如果你提出不在场证明，他们会“捏造证人”或其他方法来破解…

因此，他们希望你“承诺一个时间线”，然后他们可以围绕或打破证据，同样是一个立场线。

当他们在你上法庭之前不必做任何事情时，“承诺”显然对你不利。

据称，法律制度是关于“武器公平”的……因此，如果你通过“剥夺权利”等手段有效地剥夺了武器或盔甲，这在任何方面都是不公平的。

正如任何一本关于军事战略的书都会告诉你的那样，提前规划和战术限制了进攻者通过伏击等手段获得优势的机会。正如这里不时有人说的那样，政客和政府“将公民视为敌人”，从逻辑上讲，这意味着所有“卫队工党”都会看到你。

哦，有趣的一个，这是英国的“小心”仔细阅读它，找到那些试图剥夺你所有权利的黄鼠狼的话，