一种新的Android恶意软件使用了明显是老派的方法来感染移动手机设备。
安全公司Zscaler的安全研究员说,他们自10月以来发现了几百个新的感染样例,目标主要针对中国的Android用户。恶意软件使用一个熟悉的“W”标志来冒充Microsoft Word文档,但实际上是一个恶意的Android应用程序包(APK)。
一旦设备被感染,恶意软件会以高权限进行操作,窃取设备标识符(IMEI和SIM卡号码以及设备ID),另外还有受害者的个人信息,以及存储在手机内的短信和通讯录。
所有这些数据会通过邮件或者短信发送给攻击者,Zscaler的安全研究主任Deepen Desai说道。
“我们没有看到初始交付向量,但事实上是使用了一个文件名(wendang.apk,用来处理数据文件),它使用Microsoft Office Word的图标,这样用户会受到恶意软件作者的愚弄,认为这是一个重要的文档文件,从而使用户产生兴趣。”,Desai说道,“一旦用户打开这个所谓的文档文件,他会经历一个APK的安装过程,从而受到感染。”
一旦手机中安装了这个恶意软件,它会显示一个Word文档的图标在主屏幕上。受害者点击图标去打开文件,实际上是执行了恶意软件,然后它会显示一个错误信息,并且删除桌面图标。恶意软件运行在后台,可以执行很多事情,包括将所有短信转发给恶意软件中预设的号码。它也会在后台运行一个Android服务名叫MyService,以及两个线程(SMSTask 和 MailTask)。恶意软件也可以拨号给预设的号码,这样可以用于窃听。
“恶意软件作者在APK文件中实现了一个功能,允许他们通过短信发送电话号码到受感染的设备中。”Desai说,“恶意软件也可以拦截一短信息从中获取电话号码,这种模式可能是保险费数量商业模式的用例,这样攻击者可以因为这些电话而得到报酬。”
隐私问题也令人担忧,Desai指出,被恶意软件拦截的短信可能不仅包括个人交互,也会有类似于移动银行和其他在线服务的验证码信息。
“考虑到所有受感染的设备上的所有信息都发送给攻击者,攻击者可能会进一步执行感兴趣的数据过滤。”Desai说,“偷来的联系信息可以用于进一步传播恶意软件,偷来的凭证和银行相关数据很可能用于金融欺诈。”
Desai说,根据Zscaler从10月10日之后的检测结果,在不到一个月时间内有300受害者被感染。
“由于移动设备无处不在的性质,也难怪个人电脑领域的恶意软件技术出现在移动领域。”Desai说,“在早期的Windows恶意软件攻击中,攻击者的恶意软件常常使用吸引眼球的标题名字和一些常见的图标来诱骗受害者打开文件。现在我们看到了使用同样技术的Android恶意软件。”
文章原文链接:https://www.anquanke.com/post/id/82830