一种拥有超过 10.7万个样本的新型恶意软件,已经针对 Android 设备进行了两年多的攻击,它正在窃取短信以获取一次性密码 (OTP) 和其他敏感用户数据,以进行进一步的恶意活动。
移动安全提供商 Zimperium zLabs 的研究人员发现,这种恶意软件被称为“SMS Stealer”,它背后有着庞大的网络犯罪基础设施,通过动态变化的移动应用程序进行传播,这些应用程序再通过 Telegram 消息或合法应用程序的广告进行扩散。
Zimperium 的研究人员 Aazim Bill SE Yaswant、Rajat Goyal、Vishnu Pratapagiri 和 Gianluca Braga 在7 月30日发布的博客文章中表示:“自 2022 年 2 月以来研究人员一直在追踪该窃取程序,到目前为止,该程序已被113 个国家的用户下载,其中印度和俄罗斯位居榜首。”
该活动似乎是组织严密的攻击者出于经济动机而推动的,他们拥有至少 13 个命令和控制 (C2) 服务器以及 2600 个 Telegram 机器人。
这种不断演变的活动十分危险,因为它可以逃避“传统的基于签名的检测方法”,这使得防御者很难发现,“没有复杂设备端上的恶意软件引擎能够检测到zero-day恶意软件”。Zimperium 首席科学家 Nico Chiaraviglio 说。
他说:“该恶意软件能够动态生成并通过多种威胁载体向特定设备用户分发独特的恶意应用程序,该威胁行为者具有很高的复杂性和适应性。”
事实上,研究人员分析的恶意软件样本中,有超过9.9万个是未知的,在公开可用的存储库中也无法找到,这表明在过去的两年半中,这类活动几乎未被记录。此外,通过拦截恶意软件的OTP消息,我们发现攻击者针对的是60多个全球顶级品牌,其中一些品牌拥有数亿用户。
谷歌发言人告诉 Dark Reading:“Android 用户可以通过 Google Play Protect 来自动防御已知版本的恶意软件,该功能在搭载 Google Play 服务的 Android 设备上启用。Google Play Protect 可以警告用户或阻止已知存在恶意行为的应用程序,即使这些应用程序来自 Play 商店以外的来源。”
多阶段战役
研究人员发现,恶意软件感染并窃取短信及其他数据的过程分为多个阶段,可能想利用所窃取的数据进行进一步的恶意活动。
研究人员在帖子中写道:“这些被盗凭证为进一步欺诈活动提供了跳板,例如在流行服务上创建虚假账户以发起网络钓鱼活动或社会工程攻击。”
当Android 用户被诱骗侧载恶意应用程序,要么通过模仿合法应用商店的欺骗性广告,要么通过使用自动 Telegram 机器人直接与目标用户沟通,并通过社交工程手段引诱他们参与。安装后,恶意应用程序会请求读取短信的权限,根据帖子,这是“Android 上的高风险权限,可广泛访问敏感的个人数据”。
研究人员写道:“尽管合法的应用程序可能需要请求短信权限以实现特定的功能,但这个应用程序的请求可能是未经授权的,目的是窃取受害者的私人短信信息。”
一旦获得权限,恶意软件就会寻找 C2 服务器的地址,然后建立连接以传输要执行的命令和被盗的短信。在第五阶段,也就是最后阶段,攻击者将受害者的设备变成“静默拦截器”,恶意软件会隐藏在其中,并不断监控传入的短信,主要是寻找有价值的 OTP 来进行在线帐户验证。
“迫切需要”加强移动防御
Chiaravigli 指出,虽然窃取短信获取经济利益不是一种新的威胁方式,但攻击者在此次活动中采取的动态和持续性手段是一种“精细而有效的攻击方法”,需要立即做出反应。
事实上,专家表示,移动恶意软件日益泛滥,尤其是那些可以窃取有价值的OTP 的无处不在且隐秘的应用程序,对个人和企业都构成了重大威胁。它们不仅侵犯了用户的隐私,而且还为一系列恶意活动提供了跳板,例如凭证盗窃、金融欺诈和勒索软件等。
证书生命周期管理提供商 Sectigo 的产品高级副总裁 Jason Soroko 指出:“我们过去曾见过短信窃取恶意软件,但是,短信窃取程序能够拦截 OTP、帮助窃取凭证并进一步实现恶意软件渗透,这带来了严重的风险。”
他说,这凸显了组织机构“迫切需要”采用增强的移动安全策略,特别强调应用程序权限的管理和持续的威胁监控,“以保护数字身份和企业完整性”。
SlashNext Email Security+ 现场首席技术官 Stephen Kowski 补充说,新的防御策略应该是多层次的,包括高级行为分析、机器学习和实时威胁情报的组合。他表示:“强大的移动威胁防御解决方案、主动防御策略和持续的安全更新在识别和消除隐藏的恶意软件方面发挥着关键作用。”
消息来源:darkreading,译者:YY;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
暂无评论内容