Hydra 是一種針對 Android 設備的銀行木馬，于 2019 年首次被發現。Hydra 通過誘騙用戶在移動設備上啟用危險權限，竊取金融憑證。2022 年 10 月，Hydra 成為第二大最常見的移動惡意軟件，僅次于 Anubis，領先于 Joker。

Hydra 通常通過網絡釣魚消息和網站以及谷歌商店中的惡意應用程序進行分發。如果移動用戶點擊鏈接，惡意軟件就會下載并安裝到設備上。Hydra 然后采取措施隱藏自己不被檢測到，包括從主屏幕上刪除其啟動圖標、防止卸載以及類似的策略。

威脅

Hydra 以要求用戶啟用危險權限而聞名，默認情況下包括 20 多個請求的列表。如果用戶向移動應用程序授予這些權限，則它可以廣泛訪問各種設備功能。Hydra 可以使用這些權限執行的一些惡意操作包括：

• 憑據盜竊： Hydra 是一種銀行木馬，因此竊取金融機構的登錄憑據是主要重點。該惡意軟件使用輔助功能將惡意登錄頁面覆蓋在真實頁面上，從而允許該應用竊取用戶輸入的憑據。
• SMS 消息竊取和 OTP 攔截：訪問 SMS 消息是 Hydra 請求的眾多權限之一。基于 SMS 的一次性密碼 (OTP) 通常用于多重身份驗證 (MFA)。通過訪問 SMS 消息，Hydra 可以竊取這些 OTP，使攻擊者能夠擊敗 MFA 并獲得對用戶在線帳戶的訪問權限。
• 鎖屏 PIN 盜竊： Hydra 能夠監控鎖屏活動，從而竊取用戶的 PIN。這可用于授權受感染設備上的某些操作。
• 遠程訪問木馬(RAT)：某些版本的 Hydra 具有 RAT 功能。這允許攻擊者遠程訪問并直接在受感染的移動設備上執行操作。
• SMS Spam： Hydra 能夠從受感染的設備向聯系人列表中的每個人發送大量 SMS 消息。這些群發消息可用于垃圾郵件或發送進一步傳播惡意軟件的網絡釣魚消息。
• 更改設置： Hydra 可以更改受感染設備的權限。如果用戶禁用它們，這可能允許惡意軟件禁用 Play Protect 或重新啟用 Wi-Fi 和移動網絡。

如何防范 Hydra 惡意軟件

Hydra 是一種危險且用途廣泛的移動惡意軟件示例。一旦安裝在設備上，它就可以收集一系列敏感數據并執行各種其他惡意操作。組織可以采取各種措施來保護自己、員工和設備免受 Hydra 惡意軟件的侵害。移動設備保護的一些最佳實踐包括：

• 從官方應用商店下載應用： Hydra 主要通過非官方應用商店的側載安裝。僅從 Google Play 商店安裝 Android 應用程序可降低感染風險。
• 安裝前研究應用程序：合法的移動應用程序通常有合法的網站，并且可以通過信譽良好的應用程序商店獲得。在安裝之前研究所有移動應用程序。
• 限制安裝的移動應用程序：任何移動應用程序都可能隱藏惡意功能或可利用的漏洞。限制設備上安裝的移動應用程序數量可以減少其攻擊面。
• 管理應用程序權限： Hydra 因請求大量不必要和危險的權限而臭名昭著，這些權限允許它執行各種惡意操作。限制授予應用程序的權限——而不是安裝要求不必要或危險的應用程序——可以降低它帶來的風險。
• 部署移動安全解決方案：移動安全解決方案可以阻止惡意應用程序的安裝并識別設備上的惡意軟件。安裝和維護移動安全解決方案有助于降低移動惡意軟件的風險。
• 使用多重身份驗證 (MFA)：像 Hydra 這樣的移動惡意軟件可以竊取密碼并攔截基于 SMS 的 OTP。啟用更強大的 MFA 形式有助于防止帳戶接管攻擊。
• 強制執行最小權限：最小權限原則規定用戶和設備應僅具有其角色所需的訪問和權限。實施最低權限可降低感染 Hydra 惡意軟件的設備給組織帶來的風險。