安全研究人員警告說(shuō)，犯罪分子通過(guò)使用偽裝成TikTok的惡意Android應(yīng)用程序和虛假的筆記本電腦的廣告信息來(lái)針對(duì)印度的Jio電信網(wǎng)絡(luò)進(jìn)行攻擊。

來(lái)自Zscaler的研究人員報(bào)告說(shuō)，這個(gè)威脅行為者自2020年3月以來(lái)就一直在進(jìn)行各種網(wǎng)絡(luò)釣魚(yú)詐騙活動(dòng)，都是在利用最近的頭條新聞作為誘餌進(jìn)行攻擊。

報(bào)告發(fā)現(xiàn)，他們最近通過(guò)使用社會(huì)工程學(xué)攻擊嘗試使用戶(hù)下載他們偽造的虛假TikTok應(yīng)用程序，宣稱(chēng)這個(gè)在印度被禁止的應(yīng)用程序現(xiàn)在還可以繼續(xù)使用。另一個(gè)詐騙方式則是欺騙受害者，讓他們以為自己有資格獲得由印度政府提供的免費(fèi)的聯(lián)想筆記本電腦。

針對(duì)JIO的用戶(hù)進(jìn)行攻擊

Zscaler CISO的Deepen Desai告訴Threatpost："犯罪分子所使用的惡意軟件有一些共同的特征，這在其他犯罪團(tuán)伙中也是很常見(jiàn)的。例如，它使用了常見(jiàn)的持久性控制的方法，利用受害者的聯(lián)系人信息進(jìn)行大范圍傳播，攻擊活動(dòng)的針對(duì)性非常強(qiáng)，并且利用Weebly和GitHub等資源平臺(tái)向受害者傳播惡意信息。"

目標(biāo)明確而且范圍很廣泛。Jio電信公司為印度一半以上的互聯(lián)網(wǎng)用戶(hù)提供服務(wù)，根據(jù)印度電信管理局2020年3月的報(bào)告，印度互聯(lián)網(wǎng)用戶(hù)超過(guò)7.43億人。

他補(bǔ)充說(shuō)，Zscaler團(tuán)隊(duì)觀(guān)察到有200多個(gè)惡意Android應(yīng)用，他們都使用了"與印度時(shí)事相關(guān)的主題"進(jìn)行攻擊。

報(bào)告顯示，威脅行為者向使用Jio網(wǎng)絡(luò)的用戶(hù)發(fā)送短信或WhatsApp消息，并附上釣魚(yú)信息和虛假的商品鏈接對(duì)其進(jìn)行攻擊。該報(bào)告解釋說(shuō)，鏈接會(huì)引導(dǎo)用戶(hù)到一個(gè)由網(wǎng)絡(luò)犯罪分子控制的Weebly托管的網(wǎng)站。

"我們?cè)赯scaler云中觀(guān)察到在原始下載請(qǐng)求中，用戶(hù)代理的字符串是” WhatsApp/2.21.4.22”。根據(jù)分析，這些信息可以表明，該鏈接是由用戶(hù)在WhatsApp消息中點(diǎn)擊的"。

報(bào)告還補(bǔ)充了更多其他的URL例子。

網(wǎng)站：https://tiktokplus[.]weebly.com/。

縮短鏈接：http://tiny[.]cc/Tiktok_pro。

網(wǎng)址：https://tiktokplus[.]weebly.com/。

GitHub下載鏈接: https://github.com/breakingnewsindia/t1/raw/main/Tiktik-h[dot]apk

一旦用戶(hù)進(jìn)入到了惡意網(wǎng)站，攻擊者就會(huì)試圖讓用戶(hù)下載一個(gè)Android包(APK)文件。

報(bào)道稱(chēng)，在以L(fǎng)enovo為主題的攻擊中，APK會(huì)調(diào)用datalaile.class，首先檢查是否有權(quán)限，如果沒(méi)有，就會(huì)顯示一條消息，說(shuō)："需要權(quán)限才能啟動(dòng)該應(yīng)用程序!"。一旦用戶(hù)授予了該權(quán)限，就會(huì)顯示一個(gè)表單要求用戶(hù)輸入賬號(hào)和密碼。

攻擊鏈條的下一步是攻擊者會(huì)盡可能廣泛地傳播惡意軟件。在TikTok攻擊例子中，惡意軟件會(huì)提示受害者在WhatsApp上分享惡意鏈接10次。

研究人員說(shuō)："該惡意程序不會(huì)檢查用戶(hù)是否安裝了WhatsApp，在WhatsApp沒(méi)有安裝的情況下，會(huì)顯示一條Toast消息，內(nèi)容為'WhatsApp沒(méi)有安裝'。"

一旦消息被分享給了其他10人，就會(huì)顯示出祝賀的信息，點(diǎn)擊后會(huì)調(diào)用clickendra.class文件，該class會(huì)顯示廣告，最后顯示提示信息"TikTok將在1小時(shí)后啟動(dòng) "。

Ad-Stuffer惡意軟件

報(bào)告說(shuō)："網(wǎng)絡(luò)攻擊者會(huì)使用這些應(yīng)用程序向用戶(hù)顯示中間廣告來(lái)獲得收入，軟件中有兩個(gè)軟件開(kāi)發(fā)工具包(SDK)可以達(dá)到這個(gè)目的。通過(guò)使用故障切換機(jī)制，如果它使用的一個(gè)SDK檢索廣告失敗，那么它就會(huì)使用下一個(gè)SDK。"

他們補(bǔ)充說(shuō)，在應(yīng)用程序中觀(guān)察到的兩個(gè)SDK是AppLovin和StartApp。

報(bào)告補(bǔ)充道："在顯示廣告之前，軟件就會(huì)為用戶(hù)創(chuàng)建一個(gè)虛假的視圖，其中就包含了一個(gè)假的文本信息和頂部虛假的進(jìn)度條，在設(shè)置了視圖后，會(huì)發(fā)送一個(gè)獲取廣告的請(qǐng)求。如果成功接收到了廣告，那么就會(huì)顯示廣告并隱藏那個(gè)虛假的進(jìn)度條，否則就會(huì)發(fā)送加載下一個(gè)廣告的請(qǐng)求。"

Zscaler團(tuán)隊(duì)觀(guān)察到，如果廣告加載失敗，惡意軟件會(huì)調(diào)用lastactivity.class向受害者顯示一條信息，要求他們 "點(diǎn)擊廣告并繼續(xù)安裝應(yīng)用"。報(bào)告說(shuō)："它改變了內(nèi)容視圖結(jié)構(gòu)，會(huì)再次初始化StartApp SDK，像之前一樣創(chuàng)建一個(gè)虛假的進(jìn)度條，如果收到了發(fā)來(lái)的廣告，那么它就會(huì)顯示給用戶(hù)。"

惡意軟件傳播者

研究人員表示，用于傳播該惡意程序的代碼是felavo.class，它執(zhí)行了兩個(gè)關(guān)鍵的功能。初始化應(yīng)用程序和通過(guò)短信傳播惡意鏈接，短信只會(huì)發(fā)送給其他Jio客戶(hù)。

報(bào)告解釋說(shuō)："用于傳播應(yīng)用程序的誘餌信息被加密存儲(chǔ)，在初始化階段，服務(wù)配置了加密的內(nèi)容，可以用于以后解密誘餌信息。"

研究團(tuán)隊(duì)發(fā)現(xiàn)，該惡意軟件可以獲取用戶(hù)的聯(lián)系人列表，通過(guò)查看聯(lián)系人列表來(lái)尋找其他屬于Jio運(yùn)營(yíng)商的號(hào)碼。

Zscaler表示，它將會(huì)繼續(xù)監(jiān)控威脅行為者，用戶(hù)也需要意識(shí)到這些攻擊威脅是會(huì)一直存在的，需要采取更多的預(yù)防措施來(lái)保護(hù)自己。

他建議："在下載任何應(yīng)用程序時(shí)，都要使用可信的合法的應(yīng)用商店來(lái)下載，不要從未經(jīng)驗(yàn)證的鏈接中下載應(yīng)用程序，即使它們來(lái)自你所信任的聯(lián)系人。"

本文翻譯自：https://threatpost.com/adware-tiktok-laptop-offers/165318/如若轉(zhuǎn)載，請(qǐng)注明原文地址。