伊朗银行客户都无法免受出于经济动机的网络犯罪分子的攻击，这些犯罪分子使用令人信服但虚假的移动应用程序。

近几个月来，针对伊朗银行业的大规模活动规模不断扩大，近 300 个恶意 Android 应用程序针对用户的账户凭据、信用卡和加密钱包发起攻击。

四个月前，Sophos 的研究人员详细介绍了一场漫长的活动，涉及 40 个恶意银行应用程序，旨在获取属于不知情客户的凭据。通过模仿伊斯兰共和国最重要的四家金融机构——梅拉特银行、萨德拉特银行、雷萨拉特银行和伊朗中央银行——黑客能够在受害者的手机上安装和隐藏他们的山寨应用程序，获取登录信息，拦截短信一次性密码，并窃取敏感的财务信息，包括信用卡。

显然，这只是开场。Zimperium 的一篇新博客文章披露了另外 245 个应用程序与同一明显正在进行的活动相关，其中 28 个应用程序之前未在 VirusTotal 上记录。

这个新宝库不仅更大，而且比前 40 个宝库更多样化、更复杂，具有新的目标类型以及隐秘和持久的战术。

285 虚假银行应用程序

自今年夏天以来发现的 245 个新应用程序超出了最初 40 个应用程序的范围，积极针对四家新的伊朗银行，有证据表明他们还瞄准了另外四家银行。

除了银行之外，攻击者还开始探测与 16 个加密货币平台相关的数据，包括 Metamask、KuCoin 和 Coinbase 等流行平台。

为了便于瞄准十几家银行和 16 个加密货币中心，攻击者还在他们的武器库中添加了一些新工具。例如，他们用来避免基础设施瘫痪的一个小技巧涉及命令和控制服务器，其唯一目的是分发网络钓鱼链接。正如研究人员解释的那样，这“允许在应用程序上对服务器 URL 进行硬编码，而不会有被删除的风险。”

然而，该组织最引人注目的新策略是其应用程序如何滥用无障碍服务。

“在使用辅助功能 API 时，他们获得了一种以编程方式访问 UI 元素的方法，”Zimperium 首席科学家 Nico Chiaraviglio 解释道。他解释说，攻击者可以通过某些与用户相同的方式与设备进行隐形交互，从而达到恶意效果。例如，“他们可以请求危险权限（例如阅读短信），当提示用户接受该权限时，他们甚至在用户看到通知之前就单击“接受”。或者，他们通过单击“取消”来阻止卸载’当用户尝试卸载应用程序时。”

到目前为止，假冒应用程序仅限于 Android 设备。但在攻击者的物品中，研究人员确实发现了模仿银行应用程序 Apple App Store 页面的网络钓鱼网站，这表明该活动可能会在不久的将来扩展到 iPhone。

早在这一切发生之前，该活动就已经影响了数千人。“根据从他们的 Telegram 频道之一获得的信息，我们知道有数千名受害者。但我们只能访问所使用的频道之一（因为其中一个频道是私人的），并且不能保证他们没有这样做过去使用其他渠道。”