K7 Labs 的研究人员发现了一场高度定向的 Android 间谍软件攻击活动,目标为印度的移动端用户。攻击手法是通过 WhatsApp 发送一个看似无害的“婚礼邀请”APK 文件。隐藏在这一社交工程背后的是一种危险的远程管理工具(RAT)——SpyMax,可赋予攻击者对受害设备的完全控制权,包括窃取短信、一次性密码(OTP)、联系人信息和银行账户凭证等。
恶意程序通过一条简单的 WhatsApp 消息发起攻击,消息内容伪装成婚礼邀请。该文件名为“Wedding Invitation.apk”,并非来自 Play 商店,而是通过联系人分享的方式传播,从而使钓鱼行为看起来更加可信。
一旦打开,该应用会请求用户执行以下操作:
-
将其设置为默认的“主屏幕”应用(Home app)
-
启用“安装未知来源应用”权限
-
接受一个伪造的系统更新界面
报告指出:“恶意软件会从其自身资源文件夹中解密出一个应用并进行安装,该已安装应用的包名为 com.android.pictach。”
真正的有效载荷即为 com.android.pictach,一旦启动,将执行一场复杂的监控行动:
-
通过伪造的系统设置界面请求获取设备的完全控制权限
-
记录所有按键输入,保存为
log-yyyy-mm-dd.log,存放路径为Config/sys/apps/log -
利用 AccessibilityEvents 拦截所有通知内容(包括银行 OTP 和 WhatsApp 消息)
-
将外泄数据压缩(使用
gZIPOutputStream)后发送给攻击者
报告警告称:“该 RAT 会拦截 AccessibilityEvents 中的 Notification 对象,从中提取敏感信息,例如银行 OTP、WhatsApp 消息和双因素认证码(2FA)。”
该恶意软件连接的远程指挥控制(C2)服务器地址为:104.234.167[.]145:7860。一旦建立 TCP 连接,受害者设备中的压缩数据即被传输至攻击者端。
值得注意的是,K7 Labs 发现该恶意软件还会检测设备中是否安装了移动安全产品,表明其可能具备规避检测或主动绕过防护的能力。
“该命令会收集剪贴板与短信数据,并检查受害设备是否存在一组硬编码的移动安全产品。”
尽管当前分析样本中并未发现自我传播的行为,但研究人员警告说,由于该恶意软件会收集联系人信息,因此未来版本具备通过联系人列表将自身转发传播的潜力。
“由于它会收集联系人信息,因此未来可能将 APK 自动转发至通讯录联系人,但我们在本次分析的样本中未发现类似代码。”
发表评论
您还未登录,请先登录。
登录