Exobot Android利用银行木马漏洞泄露源代码，MaySecurity研究人员担心情况还会恶化

顶级Android银行木马的源代码已经在线泄露，并且已经在恶意软件社区中迅速传播，令研究人员担心新一波恶意软件活动可能正在进行中。

这个恶意软件的名字是Exobot，这是一种Android银行木马，于2016年底首次发现，其作者在今年1月将其源代码放置出售。

在日常运营中，恶意软件作者会在安全研究人员称之为MaaS（恶意软件即服务）或CaaS（网络犯罪即服务）的过程中，每月或每周访问其恶意软件。

但是，当恶意软件作者销售恶意软件的整个源代码时，这通常意味着恶意软件作者正在转向其他项目，并且不再想要对其进行处理。通常有足够的人购买之后，该源代码会在线泄漏。

Exobot源代码于5月在网上泄露

这种情况在过去多次发生过各种各样的恶意软件上，并且它也发生在Exobot上，就像上个月，Bleeping Computer从一个不知名的人那里收到了这个源代码的副本。

Bleeping Computer已与ESET和ThreatFabric的安全研究人员共享此源代码并验证其真实性。

该代码被证明是Exobot银行木马的2.5版，也被称为“特朗普版”，这是Exobot在其原作者放弃其开发之前的最后版本。

来自ThreatFabric的安全研究人员告诉Bleeping Computer，称我们收到的Exobot木马源代码实际上已于5月在线泄露，当时从原作者那里购买它的一位用户决定与社区分享。

从那以后，Bleeping Computer发现Exobot源代码正在很多地下黑客论坛上发布。

安全研究人员担心Exobot活动会增加

安全研究人员现在担心代码的扩散可能导致恶意软件活动激增，这将影响感染此特洛伊木马的恶意Android应用程序。

但这些不仅仅是“恐吓”安全研究人员的警告。以前的确发生过这样的事情。

2016年12月，BankBot Android银行木马的源代码在网上泄露，导致大规模爆发的恶意软件活动在2017年传播该木马。

BankBot代码的可用性降低了恶意软件作者进入Android恶意软件场景的入门门槛和财务成本。现在，随着Exobot以同样的方式共享，安全研究人员正准备迎接类似的入侵行为。

Exobot非常强大

安全研究员兼ThreatFabric发言人Cengiz Han Sahin 表示，Exobot是一种非常强大的银行木马，甚至可以感染运行最新Android版本的智能手机，这是极少数特洛伊木马可以做到的。

“所有威胁一直致力于定时注入（叠加攻击），以便在Android 7,8甚至9上工作，”Sahin说。“然而，Exobot确实是新的东西。

“该木马获取了前台应用程序的软件包名称，而不需要任何额外的权限，”他说，“这虽然很少发生，但在大多数情况下都有效。”

“这里有趣的部分是不需要Android权限，”Sahin补充道。“所有其他Android银行木马家族都使用Accessibility ore Use Stats权限来实现相同目标，因此需要用户与受害者进行互动。”

因此，不仅Exobot的源代码可以自由访问，而且它非常有效，就像BankBot代码在2016年被泄露时的顶级代码一样。在接下来的几个月里，我们可能会看到Android恶意软件开发者慢慢从BankBot迁移到Exobot的广告系列，很少会拒绝“免费升级”而得到更好的代码。