根據捷克警方近日發布的官方聲明，捷克共和國已經有5名用戶成為了這款惡意軟件的受害者，并且攻擊者已經成功從他們的賬戶上偷走了78000多歐元了。
不過幸運的是，警方已經從布拉格的一處自動取款機監控探頭那里獲取到了犯罪分子的面部照片（大兄弟，你確定你是專業的？）。

據了解，這款偽裝成QRecorder的惡意軟件是一款Android端銀行木馬，并且可從Google Play上直接下載安裝，目前該惡意軟件的裝機量已經超過了10000臺。目標設備感染了”QRecorder”之后，惡意軟件會誘騙用戶輸入自己的銀行賬號憑證，并將這些數據發送給攻擊者。值得一提的是，該惡意軟件可以繞過基于SMS短信的雙因素驗證機制！
分析數據表明，這款惡意軟件主要針對的是德國、波蘭和捷克銀行的用戶。根據相關銀行發布的聲明，目前已有兩名受害者將事件上報給了銀行，這兩名客戶的財產損失總金額超過了10900歐元。
惡意軟件分析
這款木馬偽裝成了一款名叫QRecorder的App，這款App原本是一款語音通話錄音工具：

啟動之后，它會提示用戶安裝其他的應用程序來完善自己的功能（或提示安裝其他應用來保證自己的正常運行）。當然了，安裝了所謂的“其他應用”之后，用戶將感染木馬病毒。

接下來，這款App會正常運行，不過它會在后臺等待攻擊者發送過來的控制命令。
根據研究人員的分析結果，這些控制命令會在目標用戶感染了惡意軟件的24小時之內送達。
攻擊者在與受感染設備進行通信時使用的是Firebase消息，攻擊者首先會詢問目標設備是否安裝了目標銀行App。如果安裝了，他會給目標設備發送一條包含了Payload和解密密鑰的下載鏈接，其中Payload采用了AES加密。在下載Payload之前，他會請求用戶激活輔助服務，并利用這種權限來自動下載、安裝和運行惡意Payload。當Payload下載成功之后，它會嘗試觸發合法銀行App運行。一旦運行后，惡意軟件會創建一個界面外觀跟合法銀行App類似的頁面覆蓋層，當用戶在這個覆蓋層頁面輸入了自己的憑證之后，攻擊者也就獲取到了“一切”。
感染演示視頻
下面給大家提供的是一個真實的感染案例：
根據研究人員對惡意軟件代碼的分析，我們可以斷定該惡意活動的主要目標是德國、波蘭和捷克銀行。針對不同銀行的App，惡意軟件會創建不同的具有針對性的Payload。不過，研究人員目前還無法獲取到解密密鑰并識別所有的目標。

入侵威脅指標IoC