网络犯罪分子正竭尽全力从冠状病毒大流行及混乱中受益。他们诱骗用户的陷阱是发布伪装成COVID-19最新消息的恶意间谍程序。
网络安全研究人员在2020年3月底发现了正在进行的网络间谍活动,他们将其命名为Project Spy。
根据他们的评估,通过Project Spy,攻击者正在利用冠状病毒的紧张形势传播,Wabi Music,Concipit 1248和Concipit Shop等应用程序会利用用户的不知情,让间谍软件感染Android和iOS设备。
这些间谍程序会在应用程序执行功能时截取信息,包括窃取Telegram,WhatsApp,Threema和Facebook的数据。
此外,它还可以收集语音信息,通话记录和联系信息,敏感的设备信息(例如设备ID,IMEI编号,制造商,硬件,型号,引导程序,标签,主机,应用程序和操作系统版本)。
图像,SIM卡信息(包括MCC-移动国家/地区,IMCI操作员代码,SIM卡序列号甚至手机号码。
此外,它会向攻击者上传WiFi信息,包括MAC地址,SSID和WiFi速度,以及来自移动设备的其他数据,例如指纹,日期,时间,显示,并会对信息进行修改。
假Android应用程序(左)–两个针对iOS的假冒应用程序(右)–图片来源:趋势科技
该应用程序当前针对印度,巴基斯坦,孟加拉国,阿富汗,伊朗,俄罗斯,沙特阿拉伯,罗马尼亚和格林纳达的Android和iOS用户。
该活动利用其后端服务器的登录页面而被称为Project Spy。它通过利用通知权限来访问通知内容并将其存储到攻击者的数据库中,从应用程序中窃取消息。
要访问其他存储,则会要求用户的许可。该应用程序的编码风格非常业余,这也许就是为什么下载数量相对较低的原因。研究人员声称,该应用似乎正处于孵化阶段。
防治方法一:建议用户在下载应用之前,请先研究并检查其评论。
- 下载前,请观察并查看应用程序的显示和文本,声明的功能,其他用户的评论以及所请求的权限。
- 研究人员在其博客文章中建议,请确保已安装所有其他应用程序和设备操作系统为最新版本。
另一方面,Pradeo Lab的IT安全研究人员还发现了误导性的Wallpaper应用程序,该应用程序于2月发布,到目前为止,该应用程序的多个版本已经发布。该应用程序声称可提供针对冠状病毒的防护信息。
该信息是从许多知名新闻服务机构复制的,例如约翰·霍普金斯大学,雅虎新闻社和世界卫生组织(WHO)。
犯罪分子的假冒应用程序还有一个名为“主题”的选项卡,它是应用程序开发人员的真正游戏规则改变者。主题部分在那里推广免费和付费墙纸主题。
下载应用后不久,用户开始收到有关新墙纸主题的通知,其主要目标在所有版本中均保持不变,而每个新版本均进行了细微调整,以进一步诱导用户进行下载。
针对Android用户的恶意应用(图片来自Pradeo)
因此,可以理解的是,该应用程序仅是一种尝试,以促进应用程序的下载和下载,并通过推广应用程序和付费主题产生直接利润。另一个目标是提高应用程序在商店中的排名。
请记住,这不是黑客第一次使用冠状病毒传播恶意软件感染或欺骗毫无戒心的用户。目前,假的冠状病毒疫苗在暗网上出售,同时并没有终止。实际上,还建立了伪造的病毒传播实时地图,以将恶意软件传播到全球。
