安卓银行木马Acecard分分钟窃取你的刷脸信息

随着计算机技术的发展，支付方式也发生了翻天覆地的变化，先是数字密码支付，到指纹密码支付，现在又发展到了人脸识别技术支付。人脸识别技术支付给用户提供了一种更为方便的支付方式，用户可用自拍验证身份信息，这看似非常安全，实则不然。黑客们已经找到这种安全方式的不安全之处了。

McAfee在其博客中表示，有安全研究员已经发现了一种新型的安卓银行木马，它会伪装成一个视频插件，比如Adobe Flash Player、色情APP、视频解码器等，然后要求受害者发送一张手持ID卡的自拍照。

该木马的最新版本叫做Acecard，据卡巴斯基反恶意软件研究小组成员称，它们是目前危害性最大的安卓银行木马。

一旦成功安装在受害者设备上，木马即会要求获得用户的操作权限，执行恶意代码，然后等待受害者打开该应用，诱骗受害者的敏感信息。

Acecard会窃取你的支付卡和真实ID信息

如果银行木马公然的暴露在设备上，就会很容易被发现，所以Acecard就将自己隐藏在一个合法的APP上，然后继续执行恶意操作：收集受害者的银行卡姓名、信用卡的有效期、CVV码等。

McAfee的安全研究员Bruce Snell解释称：

“它在合法应用程序上有自己的窗口，要求受害者输入自己的信用卡详细信息。在验证信用卡正确性之后，会继续要求受害者给予其他的信息，比如卡背后的四位数字。”

随后，木马会再次要求受害者输入一些个人信息，比如他们的姓名、出生日期、邮箱地址、信用卡正面照片、信用卡反面照片。甚至，它还会要求受害者拍一张手持信用卡的正面自拍照。

黑客可以非法转账，掏空你的网银账户

有了上述信息，黑客们便可以做任何他想做的事情了，银行转账，登录你的社交媒体账户等等，都是轻而易举的事情。

其实，从社工的角度来看，这种诱骗伎俩着实不够新颖，而且漏洞百出，没有哪家公司或者合法应用会要求用户输入这么多个人敏感信息的。只要有点技术含量或者理智点的用户都能分辨出它的恶意目的，但是往往还有很多用户会上当受骗。

目前，被Acecard银行木马感染的用户主要位于新加坡和香港。

尽管这些伪造的、不合法的APP已经从Google Play Store上下架，但是还是要再次提醒用户，不要从第三方或者不受信任来源处下载应用。

最后再次提醒：没有哪个应用会要求你提供一张手持银行卡的自拍照，除非是去银行柜台办理服务。