假的Reliance Jio Tower恶意应用程序能够窃取金融数据，PII

网络安全公司Technisanct的研究人员发现了一个银行木马该病毒名为JioTower.apk，能够从受感染设备中窃取财务和个人数据。

这款假冒应用程序通过一个钓鱼网站(https://rewardapps[.]xyz)传播。该网站伪装成一个奖励应用程序。用户点击URL后，他们会被引导去下载一个依赖Jio塔移动应用。该应用程序本质上是一个银行恶意软件使用Jio塔树立品牌以显得合法。

恶意软件功能

Technisanct的研究人员称，这是恶意软件ETCISO它可以窃取用户设备上的所有短信、用户的个人身份信息或PII、Aadhaar & PAN卡号、银行卡详细信息以及发送到设备上的OTPs。

他们说:“恶意软件向用户寻求10种权限，并滥用其中4种。”

特别危险的权限是:摄像头访问权限和读取、接收和发送短信的权限。

除了SMS访问，该恶意软件还授予联系人、通话记录和设备位置的权限。研究人员说:“根据恶意软件作者的命令和控制服务器收到的指令，感染不仅记录通话和音频，还删除文件，拨打电话，用相机拍照。”

代码分析显示，恶意软件正在收集硬编码的敏感信息，如用户名、密码和密钥。它的功能扩展到收集银行信息-银行帐户号码，帐户持有人的姓名，IFSC代码，以及信用卡/借记卡的详细信息。

为了防止目标用户收到有关可疑活动或交易的通知，该恶意软件将所有通知设置为静音模式。

对于横向移动，恶意软件利用远程桌面协议-RDP(MITRE ATT&CK技术:T1021.001）.

在RDP的帮助下，威胁行为者使用有效帐户登录计算机，然后以合法登录用户的身份执行操作。维护持久性的常用技术是使用带有“可访问性特性”或“终端服务DLL”的RDP。

一段时间以来，RDP一直是许多高产威胁组织的“首选武器”，例如Cobalt Strike、jRAT、Lazarus Group和Pysa。

影响

Technisanct的研究人员告诉我们，由于其广泛的短信窃取功能，黑客可以利用泄露的数据窃取用户设备上的其他银行应用程序。

他们解释说:“客户和机构依赖银行的双因素认证程序来保护他们的交易安全，但它拦截通过短信提供的一次性密码(otp)的能力阻碍了这种保护。”

银行木马在暗网论坛上很受欢迎。研究人员警告说，威胁行为者推销这些木马病毒，并通过众多网站和第三方零售商传播它们。