文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Dark Herring恶意计费软件攻击了1.05亿台安卓设备

2024-12-02 07:50

关注

受害者数量庞大

Dark Herring恶意软件是由Zimperium的一个研究小组发现的,他们估计该恶意活动窃取的金额已经过亿,每个受害者每月要多花费15美元。谷歌此后从Google Play中删除了所有的470个恶意应用程序,该公司表示目前诈骗服务已经停止,但已经安装了这些应用程序的用户可能在以后仍然会被攻击。这些应用程序在第三方应用程序商店中也仍然可以被下载到。

世界各地的移动消费者,尤其是那些银行服务并不完善的地区,都是依赖运营商直接计费(DCB)来进行支付的,这种方式会将非电信服务的费用添加到消费者的每月电话账单中。这些特点对于攻击者来说,这是一个非常好的攻击目标。

报告解释说,在这种情况下,额外收取15美元的费用不一定会让终端用户在短时间内注意到它,但在超过1亿个账户中进行窃取,这样就可以获取大量的金额。

研究人员报告说:"下载统计数据显示,在全球范围内,有超过1.05亿台安卓设备安装了这种恶意软件,它们成为了这一攻击活动的受害者,可能会遭到不可估量的经济损失。这个攻击活动背后的网络犯罪集团可能已经从这些受害者那里获得了一个稳定的资金流,每月会产生数百万的收入,被盗总金额可能达数亿。"

报告说,该攻击活动最早在2020年3月被发现,并一直持续到了去年11月。

分析师说,该诈骗软件很可能是一个新兴黑客团体开发进行攻击的,因为它使用了新的技术和基础设施。

分析师认为,Dark Herring能够攻击成功是各种策略相互作用的结果;他们还使用了地理定位,这样应用程序就会为受害者提供母语来进行阅读。

该团队补充说:"这种社会工程学的攻击方式非常成功和有效,因为用户通常更愿意用他们的本地语言从网站获取信息。该攻击活动的范围非常大,通过改变应用程序的语言,针对70多个国家的移动用户进行攻击,并根据当前用户的IP地址调整显示的内容。"

分析人士指出,Dark Herring背后的攻击集团还建立了470个高质量的应用程序,并且通过了官方应用程序商店的审核。这些应用程序的功能都与宣传的一样,而且分布在各种不同类别的应用程序中。

报告解释说:"能够制作出大量的恶意应用程序并将其提交给应用程序商店,表明这是一个组织良好的团体。这些应用程序可能不仅仅是对其他应用程序的克隆,而且还能绕过传统的安全工具集来对受害者进行攻击"。

除了使用强大的基础设施,Dark Herring在攻击活动中还使用了代理来进行隐藏。而且由于应用程序的地理定位功能,还能够缩小搜索范围,寻找受害者。

例如,研究人员发现,攻击者更倾向于针对那些对移动用户保护力度不太严格的国家的用户进行攻击,包括埃及、芬兰、印度、巴基斯坦和瑞典。报告说,由于DCB的性质,一些国家可能会由于电信公司设置的消费者保护措施而免受黑客的攻击。

攻击手法解析

研究人员说,在技术方面,一旦该安卓应用被安装和启动,一个托管在Cloudfront的Webview就会加载一个恶意的URL。然后,该恶意软件会向该URL发送一个GET请求,该URL会发回一个响应,其中就包含了托管在亚马逊网络服务云实例上的JavaScript文件的链接。

该应用程序然后就会获取这些资源,然后这些资源就会对设备进行感染,启用地理定位功能。

根据分析,其中一个JavaScript文件会指示应用程序向"live/keylookup "API端点发出POST请求来获得设备的唯一标识符,然后构建最终的一个URL。Baseurl变量被用来发出POST请求,其中就包含了该应用程序创建的唯一标识符,用来识别设备以及语言和国家的详细信息。

最终的URL响应包含了受害者的配置信息,攻击者会根据受害者的详细信息来决定其下一步的攻击行为。基于这个功能,受害者会收到一个移动网页,要求他们提交他们的电话号码来激活该应用程序(和DCB收费)。这个页面中文本的语言、显示的旗帜和国家代码都是定制的。

报告说:"证据还表明,恶意攻击者在建设和维护基础设施方面进行了大量的资金投入,这样可以保持这个全球骗局高速的运转。”

由于Dark Herring获得了明显的成就,Zimperium表示,这个网络犯罪集团可能还会进行再次的攻击。

本文翻译自:https://threatpost.com/dark-herring-billing-malware-android/178032/

来源:嘶吼网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯