赛门铁克发布预警:恶意Android应用利用冠状病毒恐慌

3月26日,赛门铁克发现了11个Android应用程序,这些应用程序看起来像是与Covid-19大流行中的跟踪案例相关的合法应用程序,但实际上它们是在安装后秘密下载恶意负载的。 冠状病毒大流行是当今世界的主要新闻报道,有数十万例病例和数千例死亡。 这些应用程序是在3月20日(即Covid-19广泛传播,尤其是在欧洲)期间创建的。从应用程序的用户界面(UI)(请参见图1),我们可以看到这些应用程序针对的是意大利,该国在欧洲确认的Covid-19病例最多,尽管现在紧随其后的是西班牙。但是,即使很明显,恶意应用程序都针对意大利,我们也确实看到它们也安装在美国和法国的设备上。
图1.恶意应用程序如何在人们的手机上出现
图1.恶意应用程序如何在人们的手机上出现

重新包装的应用程序

我们发现的所有11个恶意应用程序都是合法应用程序SM_Covid19应用程序的重新打包版本,该应用程序 “通过监视[人们拥有的]联系人的数量,持续时间和类型来评估病毒传播的风险”。重新打包的应用程序保留了原始应用程序的许多功能,例如为Covid-19监视收集位置和设备信息。但是,我们发现重新打包的应用程序还注入了Metasploit,它允许反向TCP连接并执行各种命令。攻击者可以检索受感染设备用户的文件信息,SMS消息,联系人,甚至可以截取设备显示内容的屏幕截图。 使用的恶意软件还添加了一个恶意模块,该模块可以从攻击者的服务器下载任何有效负载。此功能意味着攻击者可以同时对所有用户执行相同的攻击;这也意味着他们可以使用所有受感染的设备创建一个僵尸网络,从而可能执行诸如分布式拒绝服务(DDoS)攻击之类的操作。恶意应用程序具有下载任何有效载荷的能力,这意味着从理论上讲,它们可以被用于利用勒索软件,信息窃取者,投币器或任何其他类型的恶意软件来感染受害者的设备。
图2.应用程序下载的恶意软件示例的屏幕截图
图2.应用程序下载的恶意软件示例的屏幕截图
图3.攻击者的服务器IP
图3.攻击者的服务器IP
解密应用程序后,我们能够找到控制服务器的IP地址。在调查了服务器地址之后,我们发现该服务器也位于意大利。我们还发现,攻击者还使用第二个服务器IP [87.19.73.8]进行攻击。 该活动表明,即使在全球危机严重的时候,攻击者也将尝试利用热门话题来利用恶意软件感染受害者,但是设备用户可以采取一些简单的步骤来保护自己免受此类活动的侵害。

减轻

  • 安装合适的安全应用程序,例如Symantec Endpoint Protection,以保护您的设备和数据。
  • 始终仅从官方网站和应用程序商店下载并安装应用程序。

保护

Symantec和Norton产品检测到以下扩展:
  • 木马

指标或折衷(IoC)

文件Sha2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 0 vote
Article Rating

未经允许不得转载:x-sec » 赛门铁克发布预警:恶意Android应用利用冠状病毒恐慌

赞 (0) 打赏
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x