一场高度复杂的安卓恶意软件攻击活动正在中亚地区迅速蔓延,其核心目标是窃取银行凭证和双因素身份验证(2FA)验证码,其中乌兹别克斯坦受影响尤为严重。
这款被命名为 Qwizzserial 的恶意软件,标志着移动银行欺诈手法的又一次进化。它专门利用该地区普遍依赖短信进行金融验证的弱点,展开精准打击。
冒充官方App诱导安装
Qwizzserial 最早于 2024 年中被发现,初期活动较为低调,但很快在后续几个月中出现爆发式传播。该恶意软件伪装成诸如“总统援助”、“财政补贴”乃至本地银行App等正规应用,诱导用户下载安装。
Group-IB 在追踪安卓相关威胁时识别出这一恶意软件,并指出其背后的分发网络高度类似于臭名昭著的 Classiscam 欺诈基础设施,具备明显的组织化运作痕迹。
目前,已有约 10 万台设备被感染,三个月内造成的财产损失已超过 6.2 万美元。
该恶意软件的主要传播渠道是 Telegram,攻击者往往在平台上伪装成官方机构发布“财政资助”信息,构建可信度极高的钓鱼频道进行引流与欺骗。
工业化诈骗组织构架
该行动的规模和复杂程度表明,这是一个组织良好的犯罪企业,其角色明确,包括管理员、工作人员、恶意软件开发人员和专门的“vbivers”,他们验证被盗卡的详细信息以进行欺诈性提款。这种结构化方法使整个目标区域的感染范围迅速扩大,新的恶意软件样本以越来越频繁的速度出现。
技术分析:持续窃密与伪装增强
Qwizzserial 的感染机制设计精巧,目标是实现数据最大化收集与持久驻留。
-
一旦安装,恶意应用立即请求关键权限(如读取短信、访问存储、设备信息等),并持续弹窗直至用户授予。
android.permission.READ_PHONE_STATE
android.permission.CALL_PHONE
android.permission.RECEIVE_SMS
android.permission.READ_SMS
-
用户授权后,会被引导进入一个伪装界面,诱导填写两个手机号以及完整银行卡信息(包括卡号、有效期等)。
其数据收集能力远不止于用户手动输入:
-
恶意软件会系统性地抓取设备中现有短信内容,并将其打包为 ZIP 文件,按“收件箱”“已发送”“其他”分类保存。
-
利用正则表达式(Regex)精准识别余额变动类信息,例如:
new Regex("\\b(Balance|Balans|Summu|Summa|Summ|Dostupno|Izmenen|Vklad|Amount|Availab")
从而对用户财务状况进行有针对性的情报采集。
持久化与逃避检测能力显著增强
最近的变体已经发展到包括使用 NP Manager 和 Allatori Demo 的混淆技术,同时实施了改进的持久性机制来禁用电池优化限制。
该恶意软件现在利用 HTTP POST 请求来限制服务器,而不是直接的 Telegram API 通信,这表明其运营安全措施的持续发展和改进。
发表评论
您还未登录,请先登录。
登录