一个名为TangleBot的安卓恶意软件已经开始在网络中进行了一系列的攻击。研究人员说,它可以执行一系列的恶意攻击行为,包括窃取个人信息和控制应用程序以及使用设备的各种功能。
据研究人员称,最近发现的移动恶意软件正在美国和加拿大通过短信进行传播,使用关于COVID-19疫苗以及相关法规作为诱饵,诱骗用户上当。他们通过让用户在社交软件上点击一个嵌入的链接,然后将他们带到一个虚假的网站。该网站告诉用户他们需要一个 "Adobe Flash的更新"。如果他们点击了按钮,随后,用户就会安装TangleBot恶意软件。
在传播方式和主题利用方面,TangleBot和其他的移动恶意软件很类似,比如针对英国和欧洲进行攻击的FluBot恶意软件以及CovidLock安卓勒索软件。它是一个安卓应用,它假装给用户提供寻找附近COVID-19患者的方法,但它运行时所需的设备权限是与众不同的。
该恶意软件被命名为TangleBot,因为攻击者对它进行了很多次代码混淆,而且还需要很多设备功能控制权限,包括读取联系人、短信和电话功能、通话记录、互联网接入、GPS以及摄像头和麦克风权限。
研究人员称,为了将攻击范围扩展到安卓系统的内部,TangleBot授予了自己访问和控制上述所有功能的权限,这也意味着网络攻击者现在可以全权发动攻击,同时其受害者之多令人震惊。
攻击者可以操纵语音呼叫功能来阻止呼叫,也可以在后台悄悄地拨打电话,而用户却对此毫不知情。这是一个很完美的高级欺诈的功能,用户在拨打攻击者控制的收费号码时会被收取高额的费用。
TangleBot还可以发送、获取和处理短信,该功能可以用于短信欺诈、双因素认证拦截等攻击。
研究人员称,它还具有更多的间谍功能,能够直接记录或直接将摄像头、屏幕或麦克风的音频流传给攻击者,同时还有设备观察功能。例如,获得对GPS功能的访问权,就有可能进行跟踪式定位追踪。
最后,该恶意软件还可以查看已安装的应用程序并与之互动,还可以在这些应用程序上获取信息。例如,可以以银行木马的方式来获取凭证。
研究人员指出,检测已安装的应用程序、与应用程序进行互动的操作是非常敏感的。正如我们在FluBot上看到的那样,TangleBot可以覆盖银行金融应用程序,并直接窃取受害者的账户凭证,这种权限还可以直接从设备上窃取更多的个人信息。
鉴于目前有越来越多的员工使用个人设备进行办公,这对企业来说可能是个很大的问题。
研究人员指出,为了避免受到像TangleBot这样软件的攻击,移动用户应该采取安全的信息传递方式,避免点击文本中的任何链接,即使这些链接看起来是来自合法的联系人的。他们在下载应用程序时也应谨慎行事,应该仔细阅读安装提示,注意应用程序可能要求的权限方面的信息。最后,他们应该警惕任何从未经认证的应用商店安装软件。
这种获取个人信息和凭证的方式对于移动用户来说是很难防备的,在暗网上,个人信息和账户数据的市场越来越大。即使用户发现其设备上安装了TangleBot恶意软件并能够将其删除,攻击者也可能在一段时间内不会使用被盗的信息,但是受害者对此却一无所知。
本文翻译自:https://threatpost.com/tanglebot-malware-device-functions/174999/如若转载,请注明原文地址。