近期，教父银行木马扩展了其目标应用程序列表，以影响欧洲更多的受害者国家。一个月前，这一变动针对了包括欧洲在内的16个国家的400个银行和加密货币应用程序的用户们。

发现

最近，EclecticIQ威胁研究团队发现教父模仿谷歌保护应用程序，欺骗用户相信他们受到Android服务的保护。受影响的组织分别位于加拿大、美国、法国、德国、西班牙、土耳其和英国。

如果木马程序检测到设备的语言包是独联体（CIS）通用的，则会退出。（该功能提示木马可能由俄罗斯黑客开发。）

木马通常通过上传到应用商店的恶意应用程序包安装。

教父银行木马的最新样本被上传到VirusTotal，作为谷歌保护诱饵。

工作原理

在成功感染后，教父将会获得Accessibility Service的权限，并收集默认用户代理、网络运营商的国家代码、Bot ID、已安装应用程序列表、Android版本、设备型号等。

其建立VNC连接以记录屏幕，使用键盘记录器收集每个Android应用程序上的按键，过滤推送通知，并转发电话以绕过2FA。

该木马通过拨打USSD电话而不使用GUI进行转账。此外，它还能从设备发送SMS，并启动C2连接的代理服务器。

结论

教父木马是针对全球Android用户的不断演变的银行木马的一个主要例子。专家建议仅通过经验证的来源下载应用程序。用户应注意允许应用程序上的任何权限申请，并确保在Android设备上启用了Play Protect。