2022 年 2 月以来,研究人员发现欧洲的移动恶意软件传播增加了 500%。随着攻击者将目标转向移动端,移动端的攻击行为正在稳步增加。在 2021 年底的急剧下降并未能维持住,而是在 2022 年年初迎来了强势反弹。
传播高峰
现今的移动恶意软件不仅仅是窃取凭据,还有可能进行位置跟踪、数据擦除、音视频记录等恶意行为。
安卓与苹果
大多数移动端的恶意软件还是通过应用商店进行传播的,但在过去一年,通过短信传播的行为有所增加。
苹果的 iOS 系统是不允许 sideloading 的,即通过第三方应用商店安装应用或者直接下载安装,故而犯罪分子更喜欢安卓。
移动恶意软件业态
移动恶意软件也正在变得越来越先进,除了数据窃密外还会产生更大的影响:
- 记录电话与非电话通话
- 录制设备视频与音频
- 销毁或擦除数据
相比通过钓鱼网站引诱用于输入凭据,移动恶意软件可以在用户使用金融应用程序时进行窃密,而受害者会认为他们在使用正版的应用程序。
常见恶意软件
攻击者通常会根据语言、地区和设备调整攻击行动:
常见恶意软件
FluBot
2020 年 11 月,FluBot 在西班牙被发现,后来传播到英国、德国、澳大利亚、新西兰、西班牙、奥地利、瑞士等国。
FluBot 窃取联系人列表回传至 C&C 服务器,并且向这些联系人发送新的消息进行传播感染。
FluBot 的功能如下所示:
- 连接网络
- 读取和发送短信
- 读取通知
- 拨打语音电话
- 删除应用程序
受害者使用目标应用程序时,FluBot 会进行覆盖攻击:
分发邮件
TeaBot
TeaBot 最早出现在意大利,可以将感染设备的屏幕流传输给攻击者。针对六十多家欧洲的银行窃取凭据,主要攻击西班牙和德国的金融机构。
TeaBot 的传播方式与 FluBot 类似,也可以通过键盘记录拦截 Google Authenticator 代码,进一步攻陷账户以及窃取资金。
分发邮件
TangleBot
TangleBot 在 2021 年被发现,主要通过虚假的包裹投递通知进行传播。最初在北美广泛传播,近期在土耳其被发现。
分发页面
TangleBot 的攻击仍然属于小众的,但是一旦它普及开来是十分危险的。尚不清楚为什么 TangleBot 的感染量如此之低,有可能是更大规模攻击的前奏。
Moqhao
Moqhao 是一个基于短信进行传播的恶意软件,由 Roaming Mantis 组织开发。针对日本、中国、印度、俄罗斯、法国和德国发起攻击。
其木马具备间谍与渗透功能,能够监听设备通信并获取攻击者对设备的远程访问权限。
BRATA
BRATA 主要针对意大利银行客户,使用短信引诱其下载虚假的安全应用程序。安装恶意软件后,BRATA 会记录设备的屏幕活动并进行覆盖攻击窃取凭据。BRATA 还会拦截多因子认证,最近还更新了位置跟踪和设备擦除的能力。
TianySpy
TianySpy 通过仿冒运营商的消息进行传播,攻击日本用户。值得注意的是,TianySpy 能够同时攻击 iOS 和 Android。
在安卓设备中,攻击者还额外加载了名为 KeepSpy恶意样本。攻击者可以:
- 控制和监控 WiFi 设置
- 窃取信息
- 执行网络覆盖
在苹果设备中,使用设备的唯一设备标识符(UUID)通过配置文件进行传播。开发人员通常使用配置文件在应用程序正式发布前进行测试,或将内部应用分发给员工。