潛伏在Google Play商店中的近500個(gè)惡意應(yīng)用程序已經(jīng)成功地在全球超過1億臺安卓設(shè)備上安裝了Dark Herring惡意軟件，該惡意軟件是一種會偷偷摸摸將其他收費(fèi)項(xiàng)目添加到用戶的移動運(yùn)營商業(yè)務(wù)上的軟件。

受害者數(shù)量龐大

Dark Herring惡意軟件是由Zimperium的一個(gè)研究小組發(fā)現(xiàn)的，他們估計(jì)該惡意活動竊取的金額已經(jīng)過億，每個(gè)受害者每月要多花費(fèi)15美元。谷歌此后從Google Play中刪除了所有的470個(gè)惡意應(yīng)用程序，該公司表示目前詐騙服務(wù)已經(jīng)停止，但已經(jīng)安裝了這些應(yīng)用程序的用戶可能在以后仍然會被攻擊。這些應(yīng)用程序在第三方應(yīng)用程序商店中也仍然可以被下載到。

世界各地的移動消費(fèi)者，尤其是那些銀行服務(wù)并不完善的地區(qū)，都是依賴運(yùn)營商直接計(jì)費(fèi)(DCB)來進(jìn)行支付的，這種方式會將非電信服務(wù)的費(fèi)用添加到消費(fèi)者的每月電話賬單中。這些特點(diǎn)對于攻擊者來說，這是一個(gè)非常好的攻擊目標(biāo)。

報(bào)告解釋說，在這種情況下，額外收取15美元的費(fèi)用不一定會讓終端用戶在短時(shí)間內(nèi)注意到它，但在超過1億個(gè)賬戶中進(jìn)行竊取，這樣就可以獲取大量的金額。

研究人員報(bào)告說："下載統(tǒng)計(jì)數(shù)據(jù)顯示，在全球范圍內(nèi)，有超過1.05億臺安卓設(shè)備安裝了這種惡意軟件，它們成為了這一攻擊活動的受害者，可能會遭到不可估量的經(jīng)濟(jì)損失。這個(gè)攻擊活動背后的網(wǎng)絡(luò)犯罪集團(tuán)可能已經(jīng)從這些受害者那里獲得了一個(gè)穩(wěn)定的資金流，每月會產(chǎn)生數(shù)百萬的收入，被盜總金額可能達(dá)數(shù)億。"

報(bào)告說，該攻擊活動最早在2020年3月被發(fā)現(xiàn)，并一直持續(xù)到了去年11月。

分析師說，該詐騙軟件很可能是一個(gè)新興黑客團(tuán)體開發(fā)進(jìn)行攻擊的，因?yàn)樗褂昧诵碌募夹g(shù)和基礎(chǔ)設(shè)施。

分析師認(rèn)為，Dark Herring能夠攻擊成功是各種策略相互作用的結(jié)果;他們還使用了地理定位，這樣應(yīng)用程序就會為受害者提供母語來進(jìn)行閱讀。

該團(tuán)隊(duì)補(bǔ)充說："這種社會工程學(xué)的攻擊方式非常成功和有效，因?yàn)橛脩敉ǔ８敢庥盟麄兊谋镜卣Z言從網(wǎng)站獲取信息。該攻擊活動的范圍非常大，通過改變應(yīng)用程序的語言，針對70多個(gè)國家的移動用戶進(jìn)行攻擊，并根據(jù)當(dāng)前用戶的IP地址調(diào)整顯示的內(nèi)容。"

分析人士指出，Dark Herring背后的攻擊集團(tuán)還建立了470個(gè)高質(zhì)量的應(yīng)用程序，并且通過了官方應(yīng)用程序商店的審核。這些應(yīng)用程序的功能都與宣傳的一樣，而且分布在各種不同類別的應(yīng)用程序中。

報(bào)告解釋說："能夠制作出大量的惡意應(yīng)用程序并將其提交給應(yīng)用程序商店，表明這是一個(gè)組織良好的團(tuán)體。這些應(yīng)用程序可能不僅僅是對其他應(yīng)用程序的克隆，而且還能繞過傳統(tǒng)的安全工具集來對受害者進(jìn)行攻擊"。

除了使用強(qiáng)大的基礎(chǔ)設(shè)施，Dark Herring在攻擊活動中還使用了代理來進(jìn)行隱藏。而且由于應(yīng)用程序的地理定位功能，還能夠縮小搜索范圍，尋找受害者。

例如，研究人員發(fā)現(xiàn)，攻擊者更傾向于針對那些對移動用戶保護(hù)力度不太嚴(yán)格的國家的用戶進(jìn)行攻擊，包括埃及、芬蘭、印度、巴基斯坦和瑞典。報(bào)告說，由于DCB的性質(zhì)，一些國家可能會由于電信公司設(shè)置的消費(fèi)者保護(hù)措施而免受黑客的攻擊。

攻擊手法解析

研究人員說，在技術(shù)方面，一旦該安卓應(yīng)用被安裝和啟動，一個(gè)托管在Cloudfront的Webview就會加載一個(gè)惡意的URL。然后，該惡意軟件會向該URL發(fā)送一個(gè)GET請求，該URL會發(fā)回一個(gè)響應(yīng)，其中就包含了托管在亞馬遜網(wǎng)絡(luò)服務(wù)云實(shí)例上的JavaScript文件的鏈接。

該應(yīng)用程序然后就會獲取這些資源，然后這些資源就會對設(shè)備進(jìn)行感染，啟用地理定位功能。

根據(jù)分析，其中一個(gè)JavaScript文件會指示應(yīng)用程序向"live/keylookup "API端點(diǎn)發(fā)出POST請求來獲得設(shè)備的唯一標(biāo)識符，然后構(gòu)建最終的一個(gè)URL。Baseurl變量被用來發(fā)出POST請求，其中就包含了該應(yīng)用程序創(chuàng)建的唯一標(biāo)識符，用來識別設(shè)備以及語言和國家的詳細(xì)信息。

最終的URL響應(yīng)包含了受害者的配置信息，攻擊者會根據(jù)受害者的詳細(xì)信息來決定其下一步的攻擊行為?；谶@個(gè)功能，受害者會收到一個(gè)移動網(wǎng)頁，要求他們提交他們的電話號碼來激活該應(yīng)用程序(和DCB收費(fèi))。這個(gè)頁面中文本的語言、顯示的旗幟和國家代碼都是定制的。

報(bào)告說："證據(jù)還表明，惡意攻擊者在建設(shè)和維護(hù)基礎(chǔ)設(shè)施方面進(jìn)行了大量的資金投入，這樣可以保持這個(gè)全球騙局高速的運(yùn)轉(zhuǎn)?！?/p>

由于Dark Herring獲得了明顯的成就，Zimperium表示，這個(gè)網(wǎng)絡(luò)犯罪集團(tuán)可能還會進(jìn)行再次的攻擊。

本文翻譯自：https://threatpost.com/dark-herring-billing-malware-android/178032/