警惕语音APP,或将用于开发僵尸网络

警惕语音APP,或将用于开发僵尸网络

趋势科技(Trend Micro)的研究人员近日注意到Google Play上的几个应用伪装成合法的语音信使平台,其具备可疑的功能,如自动弹出虚假调查或欺骗性广告点击。据悉自10月以来,幕后攻击者逐一部署了这些恶意应用程序及其变种,这一过程中攻击者为其添加了规避技术,且感染行为分为几个阶段逐步进行。

警惕语音APP,或将用于开发僵尸网络

研究人员将具有模块化功能的分析样本标记为1.0版本,并且他们推测犯罪分子可能正在为未来的恶意活动(如僵尸网络攻击)添加更多功能和更新。感染数量目前来说尚在控制范围内,但由于其在移动生态系统中的快速发展和分发,同时该应用上传与用户下载量的增加这一现象还是需要引起安全人员的持续关注,防患于未然。

虽然大多数虚假应用程序已被删除,但研究人员以其中一个恶意应用程序为例,向我们展示了其常规运作方式。七个已识别恶意应用程序的分析样本都有相似的编码和行为,不得不让人怀疑犯罪分子正在开发更多模块并部署更多恶意应用程序。

警惕语音APP,或将用于开发僵尸网络

Google Play上传的伪装合法语音信使APP之一

警惕语音APP,或将用于开发僵尸网络

恶意语音信使APP的上千次安装记录

恶意行为

该应用程序(由趋势科技追踪为AndroidOS_FraudBot.OPS)上传至Google Play,试图通过轻量级模块化下载器来破坏用户的设备。尽管这些应用程序的上传者各不相同,但研究人员怀疑其幕后开发系同一人所为——它们的代码极为相似。下载后,其第一个组件与C&C建立连接,随后解密并执行有效负载。

警惕语音APP,或将用于开发僵尸网络

有效负载的执行顺序

恶意有效负载执行

1.“Icon”模块隐藏了应用程序的图标,以防止用户卸载;

警惕语音APP,或将用于开发僵尸网络

2.“Wpp”模块可以打开浏览器访问任意URL;

警惕语音APP,或将用于开发僵尸网络

在分析样本时,研究人员发现该应用程序会弹出虚假的调查表单(以换取礼品卡诱骗用户填写),收集用户的个人身份信息(PII),如姓名、电话号码和家庭住址。虚假的调查表单通过设备的默认浏览器加载。如无法识别默认浏览器,根据C&C服务器响应数据,调查表单会通过以下任一浏览器进行加载:云州、Brave、Chrome、猎豹、海豚、DU、火狐、Link Bubble、Opera、海鹦和UC浏览器等。

警惕语音APP,或将用于开发僵尸网络

收集用户信息的虚假应用程序

Wpp模块还会通过随机应用触摸行为形成欺诈性广告点击。

警惕语音APP,或将用于开发僵尸网络

3.“Socks”模块作为动态库,集成了C-Ares(一个用来异步执行DNS请求和名字解析的C库)以及名称解析功能。虽然研究人员没有观察到与服务器的通信,但他们认为此功能仍处于开发阶段。

妥协指标(IOC)

警惕语音APP,或将用于开发僵尸网络

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/132899.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code