随着互联网不断的发展，很多银行正在为自己的App提供更多功能，由于其应用程序的便利性，全球范围内使用移动银行服务的用户也随之越来越多。但随着新的金融技术的激增以及用户开始从特定银行寻找应用程序和其他服务，诈骗者的机会也在增加。最近的一个例子是Movil Secure App。我们于10月22日在Google Play上发现了这个恶意app，它是针对西班牙语用户的 *** iShing的一部分。

Movil Secure是一个虚假的银行App，假装成移动令牌服务。它具有专业的外观和复杂的用户界面，开发人员努力诱使用户认为它是合法的。我们还在同一开发人员名下发现了其他三个类似的假应用，Google确认这些应用已从Google Play中删除。

Movil Secure于10月19日发布，六天内的下载次数超过100次。下载次数如此之多，可能是因为该应用程序声称与Banco Bilbao Vizcaya Argentaria（BBVA）相连，BBVA是一家拥有多国业务的西班牙银行集团。该银行实际上以专业技术而闻名，其真正的移动银行应用程序被认为是业界更好的App之一。

虚假App（见下图1）充分利用了BVVA的知名度，并将其作为银行的移动令牌服务（用于身份管理和交易授权 ），但仔细审查后发现，它并不具备任何所声明的功能。

图1.该应用声称它是数字令牌

该应用程序针对西班牙语用户，并声称它可以用于识别并授权BBVA银行客户的交易。但是在分析其功能和行为后，我们将其归类为间谍软件。该间谍软件非常简单，这表明它可能是在Google Play上发布的试用版App。

应用程序的所作所为

应用程序首次启动时，它会收集设备标识符：设备ID、操作系统版本和国家/地区代码。然后将所有信息发送到其命令和控制（C&C）服务器。它对用户是隐藏的，因为手机屏幕上并没有任何图标。

图2.设备标识符 *** 的快照

当访问C&C服务器时，我们看到了一个简单的登录门户，表明攻击者开发了一个完整的管理系统来分析和组织收集的数据。这也表明他们可能正在组织所有数据发起攻击行动。

图3.命令和控制服务器的登录页面

它收集的数据不仅仅局限于设备标识符。该应用程序还收集短信和 *** 号码;分析此应用程序的代码表明这是此间谍软件的主要目标。如下所示（图4），当安装了应用程序的设备收到新的 *** S时，它会将 *** S发件人和消息内容发送到C&C服务器和特定的 *** 号码。这类信息非常有价值，移动银行App经常使用 *** S来确认或授权银行交易。

图4. *** S的快照

应用程序背后的攻击者已经开始使用他们为 *** iShing收集的数据。在应用程序评论部分的帖子中，一位评论者说这是针对银行卡的骗局。

图5.评论声称应用程序是一个骗局

查看开发人员的详细信息，可以看到他们名下拥有三个类似的假应用程序（如图6所示）。Evo和Bankia是西班牙的知名银行，而Compte de Credit则与任何大型金融机构都没有联系。这三个应用程序于10月19日发布，与Movil Secure同一时间。分析显示这几个应用程序具有与Movil Secure相同的例程，那就是收集标识符和 *** S数据，然后发送到C&C服务器。

图6.相同开发人员的其他假应用程序

解决方案

我们怀疑从这些应用程序中获取的数据可能会用于进一步的 *** iShing攻击，或者用于从这些西班牙银行的客户那里收集银行凭证。到目前为止，我们已经发现了此版本间谍软件的功能，但我们将继续监控和跟踪其发展。

用户应谨慎下载链接到银行帐户的应用程序，并应始终检查它们是否合法的连接到银行。此外，还应配备全面的移动安全程序，缓解移动恶意软件。

IoC