反病毒軟件廠商Kaspersky實驗室研究人員近日在Google Play上發現，幾個用來竊取移動交易認證碼(mTAN)的惡意安卓app被銀行通過短信服務(SMS)發給了用戶。

Kaspersky高級惡意軟件分析師Denis Maslennikov周五在博客中表示，這些app是由一個團伙所創建，它們使用了各種Carberp銀行惡意軟件，目標是幾個俄羅斯的銀行。

許多銀行使用mTAN作為一種安全手段，以保護在線銀行賬戶在交易中免遭網絡罪犯攻擊。當交易從在線銀行賬戶發出時，銀行會通過短信服務信息將唯一的mTAN代碼發到賬戶擁有者的手機上。賬戶擁有者必須將該代碼輸入在線銀行網站，以便獲取交易許可。

為攻破這類防御，網絡罪犯創建了惡意移動app，可自動隱藏與目標銀行相關號碼的短信服務信息，并悄悄將這些信息傳回他們的服務器。當從一個受感染的計算機上訪問銀行網站時，受害者會被騙下載并安裝這些app到手機上。

目前，SMS盜竊app已經與Zeus和SpyEye銀行木馬程序一起使用，以Zeus-in-the-Mobile (ZitMo)和SpyEye-in-the-Mobile (SpitMo)聞名。然而，Maslennikov表示，流氓移動組件被特別設計成Carberp惡意軟件，這還是第一次發現。

與Zeus和pyEye不同，Carberp木馬程序首先被用來攻擊在線銀行客戶，這些用戶來自俄羅斯及其他俄語國家，像烏克蘭、白俄羅斯或哈薩克斯坦。

7月份反病毒廠商ESET的一份報告顯示，俄羅斯當局逮捕了三個最大的Carberp幕后操縱者。然而，該惡意軟件仍在繼續被其他團伙使用，并且，依據不同版本和特征，它在地下市場以5000美元到4萬美元的價格被出售。

ESET高級惡意軟件專家Aleksandr Matrosov周五表示，這是他們第一次看到來自Carberp團伙的移動惡意軟件。

Maslennikov說，在Google Play上發現的這種新的Carberp-in-the-Mobile (CitMo) app 喬裝成正常的移動app，這些app來自俄羅斯最大的兩個銀行——Sberbank和Alfa-Bank，以及使用最廣泛的社交網絡Vkontakte。

網絡罪犯上傳這些app到Google Play上，讓人對app市場反惡意軟件防御的效果產生質疑，比如：谷歌今年早些時候公布的Bouncer反惡意軟件瀏覽器。

反病毒廠商Bitdefender高級電子威脅專家Bogdan Botezatu認為，Google的Bouncer檢測ZitMo, SpitMo 或CitMo并不容易，因為他們本身就只是針對一些合法app程序的。

他表示，SMS攔截及樣本代碼早有記載。如果同樣的樣本代碼被用于惡意軟件和合法app，那它就更被難檢測和阻斷了。