隨著互聯網不斷的發展，很多銀行正在為自己的App提供更多功能，由于其應用程序的便利性，全球范圍內使用移動銀行服務的用戶也隨之越來越多。但隨著新的金融技術的激增以及用戶開始從特定銀行尋找應用程序和其他服務，詐騙者的機會也在增加。最近的一個例子是Movil Secure App。我們于10月22日在Google Play上發現了這個惡意app，它是針對西班牙語用戶的SMiShing的一部分。
Movil Secure是一個虛假的銀行App，假裝成移動令牌服務。它具有專業的外觀和復雜的用戶界面，開發人員努力誘使用戶認為它是合法的。我們還在同一開發人員名下發現了其他三個類似的假應用，Google確認這些應用已從Google Play中刪除。
Movil Secure于10月19日發布，六天內的下載次數超過100次。下載次數如此之多，可能是因為該應用程序聲稱與Banco Bilbao Vizcaya Argentaria（BBVA）相連，BBVA是一家擁有多國業務的西班牙銀行集團。該銀行實際上以專業技術而聞名，其真正的移動銀行應用程序被認為是業界最好的App之一。
虛假App（見下圖1）充分利用了BVVA的知名度，并將其作為銀行的移動令牌服務（用于身份管理和交易授權 ），但仔細審查后發現，它并不具備任何所聲明的功能。

圖1.該應用聲稱它是數字令牌
該應用程序針對西班牙語用戶，并聲稱它可以用于識別并授權BBVA銀行客戶的交易。但是在分析其功能和行為后，我們將其歸類為間諜軟件。該間諜軟件非常簡單，這表明它可能是在Google Play上發布的試用版App。
應用程序的所作所為
應用程序首次啟動時，它會收集設備標識符：設備ID、操作系統版本和國家/地區代碼。然后將所有信息發送到其命令和控制（C&C）服務器。它對用戶是隱藏的，因為手機屏幕上并沒有任何圖標。

圖2.設備標識符集合的快照
當訪問C&C服務器時，我們看到了一個簡單的登錄門戶，表明攻擊者開發了一個完整的管理系統來分析和組織收集的數據。這也表明他們可能正在組織所有數據發起攻擊行動。

圖3.命令和控制服務器的登錄頁面
它收集的數據不僅僅局限于設備標識符。該應用程序還收集短信和電話號碼;分析此應用程序的代碼表明這是此間諜軟件的主要目標。如下所示（圖4），當安裝了應用程序的設備收到新的SMS時，它會將SMS發件人和消息內容發送到C&C服務器和特定的電話號碼。這類信息非常有價值，移動銀行App經常使用SMS來確認或授權銀行交易。

圖4. SMS的快照
應用程序背后的攻擊者已經開始使用他們為SMiShing收集的數據。在應用程序評論部分的帖子中，一位評論者說這是針對銀行卡的騙局。

圖5.評論聲稱應用程序是一個騙局
查看開發人員的詳細信息，可以看到他們名下擁有三個類似的假應用程序（如圖6所示）。Evo和Bankia是西班牙的知名銀行，而Compte de Credit則與任何大型金融機構都沒有聯系。這三個應用程序于10月19日發布，與Movil Secure同一時間。分析顯示這幾個應用程序具有與Movil Secure相同的例程，那就是收集標識符和SMS數據，然后發送到C&C服務器。

圖6.相同開發人員的其他假應用程序
解決方案
我們懷疑從這些應用程序中獲取的數據可能會用于進一步的SMiShing攻擊，或者用于從這些西班牙銀行的客戶那里收集銀行憑證。到目前為止，我們已經發現了此版本間諜軟件的功能，但我們將繼續監控和跟蹤其發展。
用戶應謹慎下載鏈接到銀行帳戶的應用程序，并應始終檢查它們是否合法的連接到銀行。此外，還應配備全面的移動安全程序，緩解移動惡意軟件。
IoC