近日，研究人員發(fā)現(xiàn)有惡意安卓軟件偽裝成谷歌、Instagram、Snapchat、WhatsApp 和 X（前 Twitter）從受攻擊的設(shè)備上竊取用戶的憑據(jù)。

SonicWall Capture Labs威脅研究團(tuán)隊(duì)在最近的一份報(bào)告中提到：這種惡意軟件利用著名的安卓應(yīng)用程序圖標(biāo)誤導(dǎo)用戶，誘使受害者在其設(shè)備上安裝惡意應(yīng)用程序。

該活動的傳播媒介目前尚不清楚。但一旦被安裝到用戶手機(jī)上，就會要求用戶授予它訪問輔助服務(wù)和設(shè)備管理員 API 的權(quán)限。

一旦獲得到這些權(quán)限，惡意應(yīng)用程序就能迅速地控制設(shè)備，從而在受害者不知情的情況下執(zhí)行從數(shù)據(jù)竊取到惡意軟件部署等任意操作。

該惡意軟件旨在與命令與控制（C2）服務(wù)器建立連接，以接收執(zhí)行命令，使其能夠訪問聯(lián)系人列表、短信、通話記錄、已安裝應(yīng)用程序列表；發(fā)送短信；在網(wǎng)頁瀏覽器上打開釣魚網(wǎng)頁，以及切換攝像頭閃光燈。

這些釣魚網(wǎng)址模仿了 Facebook、GitHub、Instagram、LinkedIn、微軟、Netflix、PayPal、Proton Mail、Snapchat、Tumblr、X、WordPress 和雅虎等知名服務(wù)的登錄頁面。

博通公司旗下的賽門鐵克公司（Symantec）就社交工程活動發(fā)出警告，該活動利用 WhatsApp 作為傳播媒介，冒充與防御相關(guān)的應(yīng)用程序，傳播一種新的安卓惡意軟件。

賽門鐵克公司表示：成功發(fā)送后，該應(yīng)用程序?qū)⒁酝ㄓ嶄洃?yīng)用程序的名義安裝自己。執(zhí)行后，該應(yīng)用程序會請求短信、通訊錄、存儲和電話的權(quán)限，隨后將自己從視圖中刪除。

這也是繼發(fā)現(xiàn)傳播 Coper 等安卓銀行木馬的惡意軟件活動之后的又一次發(fā)現(xiàn)，Coper 能夠收集敏感信息并顯示虛假的窗口覆蓋，欺騙用戶在不知情的情況下交出他們的憑據(jù)。

上周，芬蘭國家網(wǎng)絡(luò)安全中心（NCSC-FI）披露，有人利用釣魚短信將用戶引向竊取銀行數(shù)據(jù)的安卓惡意軟件。

該攻擊鏈利用了一種名為 "面向電話的攻擊發(fā)送（TOAD）"的技術(shù)，短信會敦促收件人撥打一個與討債有關(guān)的號碼。一旦撥通電話，另一端的騙子會先告知受害者該短信是詐騙短信，隨后受害者將會在手機(jī)上安裝殺毒軟件進(jìn)行保護(hù)。

此外，他們還會讓接聽電話的人點(diǎn)擊第二條短信中發(fā)送的鏈接來安裝所謂的安全軟件，但實(shí)際上該軟件是惡意軟件，其目的是竊取網(wǎng)上銀行賬戶憑證，并最終進(jìn)行未經(jīng)授權(quán)的資金轉(zhuǎn)移。

雖然 NCSC-FI 沒有確定這次攻擊中使用的安卓惡意軟件是哪一個，但很可能是 Vultr 。上月初，NCC 集團(tuán)詳細(xì)說明了 Vultr 利用幾乎相同的程序滲透設(shè)備的情況。

最近幾個月，Tambir 和 Dwphon 等基于安卓的惡意軟件也在野外被檢測到，它們具有各種設(shè)備收集功能，后者針對的是中國手機(jī)制造商生產(chǎn)的手機(jī)，主要面向俄羅斯市場。

卡巴斯基說：Dwphon作為系統(tǒng)更新應(yīng)用程序的一個組件，表現(xiàn)出預(yù)裝安卓惡意軟件的許多特征。雖然確切的感染路徑尚不清楚，但可以推測，受感染的應(yīng)用程序被納入固件可能是供應(yīng)鏈攻擊的結(jié)果。

俄羅斯網(wǎng)絡(luò)安全公司分析的遙測數(shù)據(jù)顯示，受到銀行惡意軟件攻擊的安卓用戶數(shù)量比上一年增加了32%，從57219人躍升至75521人。據(jù)報(bào)告，大部分感染發(fā)生在土耳其、沙特阿拉伯、西班牙、瑞士和印度。

卡巴斯基指出：雖然受個人電腦銀行惡意軟件影響的用戶數(shù)量持續(xù)下降，但2023 年，遭遇移動銀行木馬的用戶數(shù)量大幅增加。