Hydra 是一种针对 Android 设备的银行木马,于 2019 年首次被发现。Hydra 通过诱骗用户在移动设备上启用危险权限,窃取金融凭证。2022 年 10 月,Hydra 成为第二大最常见的移动恶意软件,仅次于 Anubis,领先于 Joker。
Hydra 通常通过网络钓鱼消息和网站以及谷歌商店中的恶意应用程序进行分发。如果移动用户点击链接,恶意软件就会下载并安装到设备上。Hydra 然后采取措施隐藏自己不被检测到,包括从主屏幕上删除其启动图标、防止卸载以及类似的策略。
威胁
Hydra 以要求用户启用危险权限而闻名,默认情况下包括 20 多个请求的列表。如果用户向移动应用程序授予这些权限,则它可以广泛访问各种设备功能。Hydra 可以使用这些权限执行的一些恶意操作包括:
- 凭据盗窃: Hydra 是一种银行木马,因此窃取金融机构的登录凭据是主要重点。该恶意软件使用辅助功能将恶意登录页面覆盖在真实页面上,从而允许该应用窃取用户输入的凭据。
- SMS 消息窃取和 OTP 拦截:访问 SMS 消息是 Hydra 请求的众多权限之一。基于 SMS 的一次性密码 (OTP) 通常用于多重身份验证 (MFA)。通过访问 SMS 消息,Hydra 可以窃取这些 OTP,使攻击者能够击败 MFA 并获得对用户在线帐户的访问权限。
- 锁屏 PIN 盗窃: Hydra 能够监控锁屏活动,从而窃取用户的 PIN。这可用于授权受感染设备上的某些操作。
- 远程访问木马(RAT):某些版本的 Hydra 具有 RAT 功能。这允许攻击者远程访问并直接在受感染的移动设备上执行操作。
- SMS Spam: Hydra 能够从受感染的设备向联系人列表中的每个人发送大量 SMS 消息。这些群发消息可用于垃圾邮件或发送进一步传播恶意软件的网络钓鱼消息。
- 更改设置: Hydra 可以更改受感染设备的权限。如果用户禁用它们,这可能允许恶意软件禁用 Play Protect 或重新启用 Wi-Fi 和移动网络。
如何防范 Hydra 恶意软件
Hydra 是一种危险且用途广泛的移动恶意软件示例。一旦安装在设备上,它就可以收集一系列敏感数据并执行各种其他恶意操作。组织可以采取各种措施来保护自己、员工和设备免受 Hydra 恶意软件的侵害。移动设备保护的一些最佳实践包括:
- 从官方应用商店下载应用: Hydra 主要通过非官方应用商店的侧载安装。仅从 Google Play 商店安装 Android 应用程序可降低感染风险。
- 安装前研究应用程序:合法的移动应用程序通常有合法的网站,并且可以通过信誉良好的应用程序商店获得。在安装之前研究所有移动应用程序。
- 限制安装的移动应用程序:任何移动应用程序都可能隐藏恶意功能或可利用的漏洞。限制设备上安装的移动应用程序数量可以减少其攻击面。
- 管理应用程序权限: Hydra 因请求大量不必要和危险的权限而臭名昭著,这些权限允许它执行各种恶意操作。限制授予应用程序的权限——而不是安装要求不必要或危险的应用程序——可以降低它带来的风险。
- 部署移动安全解决方案:移动安全解决方案可以阻止恶意应用程序的安装并识别设备上的恶意软件。安装和维护移动安全解决方案有助于降低移动恶意软件的风险。
- 使用多重身份验证 (MFA):像 Hydra 这样的移动恶意软件可以窃取密码并拦截基于 SMS 的 OTP。启用更强大的 MFA 形式有助于防止帐户接管攻击。
- 强制执行最小权限:最小权限原则规定用户和设备应仅具有其角色所需的访问和权限。实施最低权限可降低感染 Hydra 恶意软件的设备给组织带来的风险。