近日，研究人員發現有惡意安卓軟件僞裝成谷歌、Instagram、Snapchat、WhatsApp 和 X（前 Twitter）從受攻擊的設備上竊取用戶的憑據。

SonicWall Capture Labs威脅研究團隊在最近的一份報告中提到：這種惡意軟件利用著名的安卓應用程序圖標誤導用戶，誘使受害者在其設備上安裝惡意應用程序。

該活動的傳播媒介目前尚不清楚。但一旦被安裝到用戶手機上，就會要求用戶授予它訪問輔助服務和設備管理員 API 的權限。

一旦獲得到這些權限，惡意應用程序就能迅速地控制設備，從而在受害者不知情的情況下執行從數據竊取到惡意軟件部署等任意操作。

該惡意軟件旨在與命令與控制（C2）服務器建立連接，以接收執行命令，使其能夠訪問聯系人列表、短信、通話記錄、已安裝應用程序列表；發送短信；在網頁浏覽器上打開釣魚網頁，以及切換攝像頭閃光燈。

這些釣魚網址模仿了 Facebook、GitHub、Instagram、LinkedIn、微軟、Netflix、PayPal、Proton Mail、Snapchat、Tumblr、X、WordPress 和雅虎等知名服務的登錄頁面。

博通公司旗下的賽門鐵克公司（Symantec）就社交工程活動發出警告，該活動利用 WhatsApp 作爲傳播媒介，冒充與防禦相關的應用程序，傳播一種新的安卓惡意軟件。

賽門鐵克公司表示：成功發送後，該應用程序將以通訊錄應用程序的名義安裝自己。執行後，該應用程序會請求短信、通訊錄、存儲和電話的權限，隨後將自己從視圖中刪除。

這也是繼發現傳播 Coper 等安卓銀行木馬的惡意軟件活動之後的又一次發現，Coper 能夠收集敏感信息並顯示虛假的窗口覆蓋，欺騙用戶在不知情的情況下交出他們的憑據。

上周，芬蘭國家網絡安全中心（NCSC-FI）披露，有人利用釣魚短信將用戶引向竊取銀行數據的安卓惡意軟件。

該攻擊鏈利用了一種名爲 "面向電話的攻擊發送（TOAD）"的技術，短信會敦促收件人撥打一個與討債有關的號碼。一旦撥通電話，另一端的騙子會先告知受害者該短信是詐騙短信，隨後受害者將會在手機上安裝殺毒軟件進行保護。

此外，他們還會讓接聽電話的人點擊第二條短信中發送的鏈接來安裝所謂的安全軟件，但實際上該軟件是惡意軟件，其目的是竊取網上銀行賬戶憑證，並最終進行未經授權的資金轉移。

雖然 NCSC-FI 沒有確定這次攻擊中使用的安卓惡意軟件是哪一個，但很可能是 Vultr 。上月初，NCC 集團詳細說明了 Vultr 利用幾乎相同的程序滲透設備的情況。

最近幾個月，Tambir 和 Dwphon 等基于安卓的惡意軟件也在野外被檢測到，它們具有各種設備收集功能，後者針對的是中國手機制造商生産的手機，主要面向俄羅斯市場。

卡巴斯基說：Dwphon作爲系統更新應用程序的一個組件，表現出預裝安卓惡意軟件的許多特征。雖然確切的感染路徑尚不清楚，但可以推測，受感染的應用程序被納入固件可能是供應鏈攻擊的結果。

俄羅斯網絡安全公司分析的遙測數據顯示，受到銀行惡意軟件攻擊的安卓用戶數量比上一年增加了32%，從57219人躍升至75521人。據報告，大部分感染發生在土耳其、沙特阿拉伯、西班牙、瑞士和印度。

卡巴斯基指出：雖然受個人電腦銀行惡意軟件影響的用戶數量持續下降，但2023 年，遭遇移動銀行木馬的用戶數量大幅增加。

參考來源：Malicious Android Apps Pose as Google, Instagram, WhatsApp to Steal Credentials