潜伏在Google Play商店中的近500个恶意应用程序已经成功地在全球超过1亿台安卓设备上安装了Dark Herring恶意软件,该恶意软件是一种会偷偷摸摸将其他收费项目添加到用户的移动运营商业务上的软件。
受害者数量庞大
Dark Herring恶意软件是由Zimperium的一个研究小组发现的,他们估计该恶意活动窃取的金额已经过亿,每个受害者每月要多花费15美元。谷歌此后从Google Play中删除了所有的470个恶意应用程序,该公司表示目前诈骗服务已经停止,但已经安装了这些应用程序的用户可能在以后仍然会被攻击。这些应用程序在第三方应用程序商店中也仍然可以被下载到。
世界各地的移动消费者,尤其是那些银行服务并不完善的地区,都是依赖运营商直接计费(DCB)来进行支付的,这种方式会将非电信服务的费用添加到消费者的每月电话账单中。这些特点对于攻击者来说,这是一个非常好的攻击目标。
报告解释说,在这种情况下,额外收取15美元的费用不一定会让终端用户在短时间内注意到它,但在超过1亿个账户中进行窃取,这样就可以获取大量的金额。
研究人员报告说:"下载统计数据显示,在全球范围内,有超过1.05亿台安卓设备安装了这种恶意软件,它们成为了这一攻击活动的受害者,可能会遭到不可估量的经济损失。这个攻击活动背后的网络犯罪集团可能已经从这些受害者那里获得了一个稳定的资金流,每月会产生数百万的收入,被盗总金额可能达数亿。"
报告说,该攻击活动最早在2020年3月被发现,并一直持续到了去年11月。
分析师说,该诈骗软件很可能是一个新兴黑客团体开发进行攻击的,因为它使用了新的技术和基础设施。
分析师认为,Dark Herring能够攻击成功是各种策略相互作用的结果;他们还使用了地理定位,这样应用程序就会为受害者提供母语来进行阅读。
该团队补充说:"这种社会工程学的攻击方式非常成功和有效,因为用户通常更愿意用他们的本地语言从网站获取信息。该攻击活动的范围非常大,通过改变应用程序的语言,针对70多个国家的移动用户进行攻击,并根据当前用户的IP地址调整显示的内容。"
分析人士指出,Dark Herring背后的攻击集团还建立了470个高质量的应用程序,并且通过了官方应用程序商店的审核。这些应用程序的功能都与宣传的一样,而且分布在各种不同类别的应用程序中。
报告解释说:"能够制作出大量的恶意应用程序并将其提交给应用程序商店,表明这是一个组织良好的团体。这些应用程序可能不仅仅是对其他应用程序的克隆,而且还能绕过传统的安全工具集来对受害者进行攻击"。
除了使用强大的基础设施,Dark Herring在攻击活动中还使用了代理来进行隐藏。而且由于应用程序的地理定位功能,还能够缩小搜索范围,寻找受害者。
例如,研究人员发现,攻击者更倾向于针对那些对移动用户保护力度不太严格的国家的用户进行攻击,包括埃及、芬兰、印度、巴基斯坦和瑞典。报告说,由于DCB的性质,一些国家可能会由于电信公司设置的消费者保护措施而免受黑客的攻击。
攻击手法解析
研究人员说,在技术方面,一旦该安卓应用被安装和启动,一个托管在Cloudfront的Webview就会加载一个恶意的URL。然后,该恶意软件会向该URL发送一个GET请求,该URL会发回一个响应,其中就包含了托管在亚马逊网络服务云实例上的JavaScript文件的链接。
该应用程序然后就会获取这些资源,然后这些资源就会对设备进行感染,启用地理定位功能。
根据分析,其中一个JavaScript文件会指示应用程序向"live/keylookup "API端点发出POST请求来获得设备的唯一标识符,然后构建最终的一个URL。Baseurl变量被用来发出POST请求,其中就包含了该应用程序创建的唯一标识符,用来识别设备以及语言和国家的详细信息。
最终的URL响应包含了受害者的配置信息,攻击者会根据受害者的详细信息来决定其下一步的攻击行为。基于这个功能,受害者会收到一个移动网页,要求他们提交他们的电话号码来激活该应用程序(和DCB收费)。这个页面中文本的语言、显示的旗帜和国家代码都是定制的。
报告说:"证据还表明,恶意攻击者在建设和维护基础设施方面进行了大量的资金投入,这样可以保持这个全球骗局高速的运转。”
由于Dark Herring获得了明显的成就,Zimperium表示,这个网络犯罪集团可能还会进行再次的攻击。
本文翻译自:https://threatpost.com/dark-herring-billing-malware-android/178032/