标签: 恶意

Google Play 商店被发现有 5 款恶意 Apps 已超过 200 万次下载,会窃取帐号登入资料

Google Play 商店恶意 Apps 真的是挡都挡不完,继 3 月份有研究人员发现多款 Apps 内藏木马之後,最近又有安全公司找到 5 款有恶意程式码的 Apps,会窃取用户常用的网站登入资讯,而且下载次数已经超过 200 万,代表说有很多用户都中标,如果你有下载的话记得赶快删除。

(图片来源:bleepingcomputer)

Google Play 商店被发现有 5 款恶意 Apps 已超过 200 万次下载

近日国外网路安全研究公司 Dr.WEB 公布一篇发现 Google Play 商店有数个恶意广告 Apps,以及会窃取资料的恶意 Apps,其中後者可说要特别注意,因为这些恶意 Apps 会偷窃你经常使用网站的登入凭据,包括:社群平台、线上银行、信箱等等,并尝试接管你的帐户。

报告中还提到,这两种恶意 Apps 是 2022 年 5 月份 Android 最具威胁之一,其中下方 5 款在写文当下还可以继续使用:

  • PIP Pic Camera Photo Editor – 达 100 万次下载,伪装成照片编辑软体的恶意 App,它会窃取用户的 Facebook 帐号凭据。
  • Wild & Exotic Animal Wallpaper – 达 50 万次下载,这款是一种内藏广告木马的 App,它会将图示和名称改成 “ SIM 工具包 ”,并将其自动加入到省电例外清单中。
  • ZodiHoroscope – Fortune Finder – 达 50 万次下载,这款恶意 App 会藉由诱骗流程,让用户输入 Facebook 帐号登入资讯,进而窃取 Facebook 帐号凭据,据了解这个诱骗流程似乎是停用 App 中的广告。
  • PIP Camera 2022 – 达 5 万次下载,这是一个相机滤镜应用程式,也是一个 Facebook 帐号偷窃 Apps。
  • Magnifier Flashlight – 达 1 万次下载,一款广告软体应用程式,绘有影片和静态横幅广告。

PIP Pic Camera Photo Editor 的用户评论很多人抱怨没有编辑功能,还有人说会要求登入 Facebook:

我刚刚查询这几款 Apps 都已经被删除。如果你想知道这些 Apps 的图示长怎样,可以点我跳转到 Dr.WEB 报告中查看。

除了这 5 款,Dr.WEB 也有查到其他有问题的 Apps,像是「Recovery」数据恢复的应用、「Driving Real Race」的游戏,这些都是会诱导用户使用付费订阅服务,不过发现没多久就被 Google 移除了:

不肖人士以 PDF 附件中夹带 Word 档来,骗取下载并偷偷记录你的键盘使用

在过去 10 年里面,攻击者喜欢将一些透过邮件散播的恶意软体打包成 Microsoft Office 档案格式,尤其是 Word 和 Excel 档,原因无它,就是使用者对这些档案类型较为熟悉,防范随之松懈,而且用於打开这些档案的应用无所不在,所以很适合用来作为诱饵。现在它又有新的形态,目的同样都是侵入你的世界。

不肖人士以 PDF 附件中夹带 Word 档来,骗取下载并偷偷记录你的键盘使用

在经过长期的报导与教育,现在用户对於信件中夹带的档案已经有防范意识,於是恶意人士开始用另一种方式来骗你下载有害软体。HP Wolf Security 一份最新的报告中,研究人员详细说明了不肖人士如何利用 PDF 档案来作为内含巨集文件的传播工具,这些巨集会在受害者的电脑下载并安装资讯窃取用途的恶意软体。

这些不甚乾净的 PDF 档案通常以像是「汇款发票」之类大家普遍会特别注意的档案名称,夹带在内含向收件者做出模拟两可承诺的信件中,当你打开 PDF 时,Adobe Reader 会提示使用者打开其中所包含的 DOCX 档,这状况非常罕见,可能会让受害者感到困惑。由於命名嵌入文件的威胁参与者名称直接就叫作「已验证」,因此在接下来的「打开文件」 提醒中会指名「文件已验证」。此项提示可能会诱使收件者相信 Adobe 已验证该档案是乾净且可以安全开启。

虽然恶意软体分析师可以利用解析器和脚本检查 PDF 中的嵌入式档案,但对於收到此类信件的一般用户却很难判断,甚至不知道要从哪里开始。因此许多人可能会在 Microsoft Word 中直接打开 DOCX,可是当你启动了其中的巨集,将自动从远端资源下载 RTF 档案并起开启它。该 RTF 文件名为「f_document_shp.doc」,其中包含有格是错误的 OLE 物件,可能会藉此逃避分析。经过针对性的重建後,HP 的分析师发现,它试图滥用旧版的微软方程式编辑器(Microsoft Equation Editor)来运行任意程式码。

在不进一步运行它的情况下,HP 安全分析师看到恶意软体擅自下载了一个名为「fresh.exe」并使用 ShellExecuteExW 在公共用户目录中运行它。此执行档可也就是臭名昭着的模组化 .NET 键盘记录器与金钥凭证窃取者「Snake Keylogger」,可以记录下用户在键盘上输入的各种活动,进而造成受害者个人隐私以及财物的损失。

虽然 Office 格式仍然很受恶意人士的欢迎,但此活动显示了攻击者如何使用 PDF 文件来迂回感染系统。嵌入档案、载入远端托管的攻击和加密 shellcode 只是攻击者用来在雷达下运行恶意软体的三种技术。此活动中被利用的漏洞 (CVE-2017-11882) 已存在有四年多的历史但仍被继续使用,这表明该漏洞对攻击者仍然有效尚未修补。

新的「三位一体」後门恶意软体出现,Windows、macOS 与 Linux 都会受害

现在很多产品都标榜跨平台,而恶意软体也不例外,我们最常见的恶意软体,通常将攻击目标瞄准在单一作业系统上,不过这次出现的新款後门恶意软体非常特别,可以说打破过去我们的既定印象。这一款被命名为「SysJoker」是最新被发现的跨平台恶意软体,可影响到 Windows、macOS 和 Linux 三种系统。

新的「三位一体」後门恶意软体出现,Windows、macOS 与 Linux 都会受害

虽说以 Windows 系统为目标的恶意软体一抓一大把,但真正能够在 Windows、macOS 与 Linux 三种不同平台上逞凶的恶意软体很罕见。在 2021 年 12 月时, Intezer 的安全研究人员首度发现这款恶意软体并将之命名为「SysJoker」。从某种角度来说,SysJoker 在 Windows 以外的两个平台上更加狡猾,VirusTotal 也无法检测到恶意软体在 Linux 和 macOS 上的种种迹象。

▲在一部已经受感染的 M1 版 Mac 上使用 VirusTotal 也扫不出 SysJoker

SysJoker 的攻击走我们已经耳熟能详的「开後门」方式,为利用它的攻击者提供一个秘密间谍工具,可以隐密地渗透系统并控制上面的所有操作。Intezel 推断, SysJoker 应该是高阶威胁参与者(Advanced Threat Actor)的产物,并且暗示有潜在勒索软体的风险,在该单位的报告中写道:「根据恶意软体的能力」,我们评估攻击的目标是间谍活动,以及横向的扩散,很可能也会将投放勒索软体作为下一阶段的攻击。」

SysJoker 伪装成系统更新,并通过解码从 Google 云端硬碟上托管文件档案中检索到的字串来生成其 C2。在 Intezer 分析过程中,C2 更改了三次,表明攻击者处於活动状态并正在监视受感染的电脑,根据受害者和恶意软体的行为,可推断 SysJoker 或许在追逐特定目标。SysJoker 已上传到 VirusTotal,後缀为.ts,用於 TypeScript 档,此恶意软体很可能是透过受感染的 npm 包为散播媒介。下图就是 SysJoker 与 C2 的通讯流程:

这款恶意软体是从零开始重新编写,并非其他恶意软体的变种,其细节在以往的攻击中未曾见过,在过去的实务上也几乎没有发现过针对 Linux 的恶意软体。攻击者注册了至少 4 个不同的网域,并且从头开始为 Windows、macOS 与 Linux 编写,心思之缜密、手法之新颖很有观察的价值。在整个分析过程中,Intezer 也没有发现攻击者送出第二阶段攻击或指令,这表明该攻击有特定目标与特定操控者,多半会是由高阶威胁参与者(Advanced Threat Actor)执行下一步骤。

© 2022 gateio官方网站

Theme by Anders NorenUp ↑