Qwizzserial恶意软件伪装正规app在安卓平台大规模窃取银行数据并拦截2FA短信

阅读量7674

发布时间 : 2025-07-03 14:55:11

x
译文声明

本文是翻译文章,文章原作者 Tushar Subhra Dutta,文章来源:cybersecuritynews

原文地址:https://cybersecuritynews.com/qwizzserial-android-malware-as-legitimate-apps/

译文仅供参考,具体内容表达以及含义原文为准。

一场高度复杂的安卓恶意软件攻击活动正在中亚地区迅速蔓延,其核心目标是窃取银行凭证和双因素身份验证(2FA)验证码,其中乌兹别克斯坦受影响尤为严重。

这款被命名为 Qwizzserial 的恶意软件,标志着移动银行欺诈手法的又一次进化。它专门利用该地区普遍依赖短信进行金融验证的弱点,展开精准打击。

冒充官方App诱导安装

Qwizzserial 最早于 2024 年中被发现,初期活动较为低调,但很快在后续几个月中出现爆发式传播。该恶意软件伪装成诸如“总统援助”、“财政补贴”乃至本地银行App等正规应用,诱导用户下载安装。

Group-IB 在追踪安卓相关威胁时识别出这一恶意软件,并指出其背后的分发网络高度类似于臭名昭著的 Classiscam 欺诈基础设施,具备明显的组织化运作痕迹。

目前,已有约 10 万台设备被感染三个月内造成的财产损失已超过 6.2 万美元。

该恶意软件的主要传播渠道是 Telegram,攻击者往往在平台上伪装成官方机构发布“财政资助”信息,构建可信度极高的钓鱼频道进行引流与欺骗。

工业化诈骗组织构架

该行动的规模和复杂程度表明,这是一个组织良好的犯罪企业,其角色明确,包括管理员、工作人员、恶意软件开发人员和专门的“vbivers”,他们验证被盗卡的详细信息以进行欺诈性提款。这种结构化方法使整个目标区域的感染范围迅速扩大,新的恶意软件样本以越来越频繁的速度出现。

技术分析:持续窃密与伪装增强

Qwizzserial 的感染机制设计精巧,目标是实现数据最大化收集与持久驻留。

  • 一旦安装,恶意应用立即请求关键权限(如读取短信、访问存储、设备信息等),并持续弹窗直至用户授予

android.permission.READ_PHONE_STATE
android.permission.CALL_PHONE  
android.permission.RECEIVE_SMS
android.permission.READ_SMS
  • 用户授权后,会被引导进入一个伪装界面,诱导填写两个手机号以及完整银行卡信息(包括卡号、有效期等)。

其数据收集能力远不止于用户手动输入:

  • 恶意软件会系统性地抓取设备中现有短信内容,并将其打包为 ZIP 文件,按“收件箱”“已发送”“其他”分类保存。

  • 利用正则表达式(Regex)精准识别余额变动类信息,例如:

new Regex("\\b(Balance|Balans|Summu|Summa|Summ|Dostupno|Izmenen|Vklad|Amount|Availab")

从而对用户财务状况进行有针对性的情报采集。

持久化与逃避检测能力显著增强

最近的变体已经发展到包括使用 NP Manager 和 Allatori Demo 的混淆技术,同时实施了改进的持久性机制来禁用电池优化限制。

该恶意软件现在利用 HTTP POST 请求来限制服务器,而不是直接的 Telegram API 通信,这表明其运营安全措施的持续发展和改进。

本文翻译自cybersecuritynews 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66