移动端木马威胁升级:针对银行应用的实时劫持技术揭秘
5/28/2026 · 2 min
引言
近年来,移动端木马威胁持续升级,特别是针对银行应用的实时劫持技术日益复杂。攻击者利用这些技术绕过传统安全措施,窃取用户的敏感信息,如登录凭证、支付密码和一次性验证码(OTP)。本文将揭秘这些技术的原理,并探讨有效的防御策略。
覆盖攻击(Overlay Attack)
覆盖攻击是移动端木马最常用的实时劫持技术之一。攻击者通过恶意应用在银行应用界面上方覆盖一个伪造的登录页面或交易确认窗口。当用户输入信息时,这些数据直接被木马捕获。
实现方式
- 权限滥用:木马通常请求“在其他应用上绘制”权限(SYSTEM_ALERT_WINDOW),从而创建覆盖层。
- 动态注入:利用无障碍服务(Accessibility Service)实时检测银行应用启动,并立即显示伪造界面。
- 数据窃取:用户输入的用户名、密码和OTP被木马记录并发送至远程服务器。
键盘记录与屏幕捕获
除了覆盖攻击,木马还通过键盘记录和屏幕捕获技术窃取数据。
键盘记录
木马利用无障碍服务监听用户输入事件,即使输入框被加密,也能捕获按键序列。例如,某些变种会记录虚拟键盘的点击坐标,从而还原输入内容。
屏幕捕获
通过请求屏幕录制权限(如Android的MediaProjection),木马可以实时录制用户操作视频,包括银行应用内的所有交互。攻击者随后分析视频提取敏感信息。
会话劫持与OTP拦截
实时劫持的最终目标是绕过双因素认证(2FA)。木马通过以下方式实现:
- 会话Cookie窃取:利用WebView漏洞或注入JavaScript,窃取银行应用的会话Cookie,从而冒充用户发起交易。
- SMS拦截:请求短信读取权限,拦截包含OTP的短信,并在用户不知情的情况下完成交易授权。
- 推送通知劫持:部分木马会拦截银行应用发送的推送通知,提取其中的OTP或交易确认信息。
防御策略
面对这些高级威胁,用户和金融机构应采取多层次防御措施:
- 用户层面:仅从官方应用商店下载应用;谨慎授予“在其他应用上绘制”和无障碍服务权限;安装可靠的安全软件。
- 应用层面:银行应用应检测覆盖层存在,并禁用敏感操作;使用证书固定(Certificate Pinning)防止中间人攻击;实施设备指纹识别和行为分析。
- 网络层面:部署流量加密和异常检测系统,识别恶意通信模式。
结论
移动端木马的实时劫持技术不断进化,对银行应用安全构成严重威胁。通过理解这些技术的原理并采取综合防御策略,可以有效降低风险。持续的安全研究和用户教育是应对这一挑战的关键。