今年6月,TrendMicro的研究人员首先发现了一种假冒的Android数据窃取软件,目标是日本和韩国用户,Fortinet在检测进行新一轮恶意软件攻击时发现了这种软件。
Fortinet发现伪造的恶意软件样本似乎有了新的功能,现在可以通过将恶意制作的文本消息发送到从命令和控制(C&C)服务器接收的电话号码列表,将其自身传播到其他Android设备。
这个FakeSpy变种传播链从一个虚假网站开始,设计看起来像日本快递服务公司的网站,它会显示一条弹出消息,要求您在点击网站上的任何地方时使用电话号码进行身份验证。
在一些额外的重定向和跳过循环之后,将向用户发送包含安装FakeSpy恶意软件负载的dropper的APK文件。
安装在Android设备上后,FakeSpy会要求成为默认的SMS应用程序,随后记录所有收到的短信并将其发送到C&C服务器。
除了能够从Android设备窃取数据外,此FakeSpy变体还可以通过文本消息将自身传播到其他设备
此外,此FakeSpy变体还将创建消息并将消息发送到其他设备,同时还收集IMEI和电话号码信息以及崩溃报告并将其全部发送到其命令和控制服务器。
FakeSpy还可以将自己传播到其他设备,每个受感染的目标都从C&C服务器请求电话号码列表,并发送包含由攻击者控制的恶意域的链接的文本消息。
根据Fortinet的分析,这个FakeSpy恶意软件活动背后的威胁行为者已经注册了数百个似乎冒充同一日本快递服务域名的域名。
正因为如此,Fortinet发现在用于感染初期的假网站上发现了大量的注释代码,我们可以说,恶意软件在Android平台上兜售FakeSpy偷窃数据的活动仍在继续。
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx