近日，有研究人員發(fā)現(xiàn)惡意安卓應(yīng)用程序冒充成谷歌、Instagram、Snapchat、WhatsApp 和 X（前 Twitter）等知名應(yīng)用程序來竊取用戶的憑據(jù)。

SonicWall Capture Labs威脅研究團隊在最近的一份報告中說：“這種惡意軟件利用著名的安卓應(yīng)用程序圖標誤導(dǎo)用戶，誘使受害者在其設(shè)備上安裝惡意應(yīng)用程序。”

該活動的傳播媒介目前尚不清楚。不過，一旦該應(yīng)用程序被安裝到用戶手機上，它就會要求用戶授予它訪問輔助服務(wù)和設(shè)備管理員 API 的權(quán)限，后者是一種現(xiàn)已廢棄的功能，可在系統(tǒng)層面提供設(shè)備管理功能。

獲得這些權(quán)限后，惡意應(yīng)用程序就能控制設(shè)備，從而在受害者不知情的情況下實施從數(shù)據(jù)竊取到惡意軟件部署等任意行為。

該惡意軟件旨在與命令與控制（C2）服務(wù)器建立連接，以接收執(zhí)行命令，使其能夠訪問聯(lián)系人列表、短信、通話記錄、已安裝應(yīng)用程序列表；發(fā)送短信；在網(wǎng)頁瀏覽器上打開釣魚網(wǎng)頁，以及切換攝像頭閃光燈。

這些釣魚網(wǎng)址模仿了 Facebook、GitHub、Instagram、LinkedIn、微軟、Netflix、PayPal、Proton Mail、Snapchat、Tumblr、X、WordPress 和雅虎等知名服務(wù)的登錄頁面。

博通公司旗下的賽門鐵克公司（Symantec）就社交工程活動發(fā)出警告，該活動利用 WhatsApp 作為傳播媒介，冒充與防御相關(guān)的應(yīng)用程序，傳播一種新的安卓惡意軟件。

賽門鐵克說：“成功發(fā)送后，該應(yīng)用程序?qū)⒁酝ㄓ嶄洃?yīng)用程序的名義安裝自己。執(zhí)行后，該應(yīng)用程序會請求短信、通訊錄、存儲和電話的權(quán)限，隨后將自己從視圖中刪除。”

這也是繼發(fā)現(xiàn)傳播 Coper 等安卓銀行木馬的惡意軟件活動之后的又一次發(fā)現(xiàn)，Coper 能夠收集敏感信息并顯示虛假的窗口覆蓋，欺騙用戶在不知情的情況下交出他們的憑據(jù)。

上周，芬蘭國家網(wǎng)絡(luò)安全中心（NCSC-FI）披露，有人利用釣魚短信將用戶引向竊取銀行數(shù)據(jù)的安卓惡意軟件。

該攻擊鏈利用了一種名為“面向電話的攻擊發(fā)送（TOAD）”的技術(shù)，短信會敦促收件人撥打一個與討債有關(guān)的號碼。

一旦撥打了電話，另一端的騙子就會告知受害者該短信是詐騙短信，他們應(yīng)該在手機上安裝殺毒軟件以進行保護。

他們還指示來電者點擊第二條短信中發(fā)送的鏈接，以安裝所謂的安全軟件，但實際上，這是一個惡意軟件，目的是竊取網(wǎng)上銀行賬戶憑證，并最終執(zhí)行未經(jīng)授權(quán)的資金轉(zhuǎn)移。

雖然NCSC-FI沒有確定這次攻擊中使用的確切安卓惡意軟件菌株，但懷疑是Vultr，NCC集團上月初詳細說明了Vultr利用幾乎相同的程序滲透設(shè)備的情況。

最近幾個月，Tambir 和 Dwphon 等基于安卓的惡意軟件也在野外被檢測到，它們具有各種設(shè)備收集功能，后者針對的是中國手機制造商生產(chǎn)的手機，主要面向俄羅斯市場。

卡巴斯基說：“Dwphon作為系統(tǒng)更新應(yīng)用程序的一個組件，表現(xiàn)出預(yù)裝安卓惡意軟件的許多特征。確切的感染路徑尚不清楚，但可以推測，受感染的應(yīng)用程序是由于可能的供應(yīng)鏈攻擊而被納入固件的。”

俄羅斯網(wǎng)絡(luò)安全公司分析的遙測數(shù)據(jù)顯示，受到銀行惡意軟件攻擊的安卓用戶數(shù)量比前一年增加了32%，從57219人躍升至75521人。據(jù)報告，大部分感染發(fā)生在土耳其、沙特阿拉伯、西班牙、瑞士和印度。

卡巴斯基指出：“盡管受個人電腦銀行惡意軟件影響的用戶數(shù)量持續(xù)下降，但從2023年的數(shù)據(jù)來看，遭遇移動銀行木馬的用戶數(shù)量大幅增加。”

來源 | thehackernews
編輯 | 銳成信息
參考鏈接：https://thehackernews.com/2024/05/malicious-android-apps-pose-as-google.html