网络安全公司 Pradeo 近日发现了一个先进的移动攻击活动,该活动利用网络钓鱼技术窃取受害者的信用卡信息,并使他们感染了一个冒充 Android 端 Chrome 浏览器应用程序的恶意软件。该恶意软件再利用受害者的设备作为载体,发送成千上万条钓鱼短信。Pradeo 的研究人员将其定性为 Smishing 木马。
通过结合高效的网络钓鱼技术、积极传播的恶意软件以及绕过安全解决方案的方法,这个活动特别危险。安全公司 Pradeo 评估,它的传播速度使它在过去几周内已经让数十万人受到影响。
首先,攻击者会向受害者发送要求支付海关费用以释放包裹的短信。当他们打开链接时,他们首先被哄骗去更新他们的Chrome应用,但所谓的更新是一个恶意软件。然后,他们被引导支付一小笔钱(通常最多1或2美元)。当他们这样做时,这种攻击背后的网络犯罪分子就得到了受害者的信用卡信息。
一旦用户安装虚假的 Chrome 应用程序,那么每周就会通过受害者的设备发送超过2000条短信,每天发送时间维持2或3个小时,向随机的电话号码发送,这些号码似乎是相互关联的。这种机制确保了攻击活动的成功传播。为了不被发现,该恶意软件通过使用官方 Chrome 应用程序的图标和名称隐藏在移动设备上,但其软件包、签名和版本与官方应用程序没有任何共同之处。
该活动正努力绕过现有的移动安全解决方案。首先,他利用受害者的电话号码加速发送钓鱼短信,以确保这些短信不会被短信应用程序的垃圾邮件过滤器所屏蔽。其次,该恶意软件使用混淆技术并调用外部代码来隐藏其恶意行为,因此躲过了大多数威胁检测系统。第三,一旦该应用程序被大多数杀毒软件识别并引用,网络犯罪分子只需用新的签名重新包装,就可以重新躲避扫描。
Pradeo的引擎已经识别出两个假的Chrome应用程序,作为该活动的一部分。当比较我们所分析的两个应用程序时,我们看到它们99%是相同的,只有一些文件名似乎被随机改变,另一方面它们的容量也是相同的。