2022 年 2 月以來，研究人員發(fā)現歐洲的移動惡意軟件傳播增加了 500%。隨著攻擊者將目標轉向移動端，移動端的攻擊行為正在穩(wěn)步增加。在 2021 年底的急劇下降并未能維持住，而是在 2022 年年初迎來了強勢反彈。

傳播高峰

現今的移動惡意軟件不僅僅是竊取憑據，還有可能進行位置跟蹤、數據擦除、音視頻記錄等惡意行為。

安卓與蘋果

大多數移動端的惡意軟件還是通過應用商店進行傳播的，但在過去一年，通過短信傳播的行為有所增加。

蘋果的 iOS 系統(tǒng)是不允許 sideloading 的，即通過第三方應用商店安裝應用或者直接下載安裝，故而犯罪分子更喜歡安卓。

移動惡意軟件業(yè)態(tài)

移動惡意軟件也正在變得越來越先進，除了數據竊密外還會產生更大的影響：

• 記錄電話與非電話通話
• 錄制設備視頻與音頻
• 銷毀或擦除數據

相比通過釣魚網站引誘用于輸入憑據，移動惡意軟件可以在用戶使用金融應用程序時進行竊密，而受害者會認為他們在使用正版的應用程序。

常見惡意軟件

攻擊者通常會根據語言、地區(qū)和設備調整攻擊行動：

常見惡意軟件

FluBot

2020 年 11 月，FluBot 在西班牙被發(fā)現，后來傳播到英國、德國、澳大利亞、新西蘭、西班牙、奧地利、瑞士等國。

FluBot 竊取聯(lián)系人列表回傳至 C&C 服務器，并且向這些聯(lián)系人發(fā)送新的消息進行傳播感染。

FluBot 的功能如下所示：

• 連接網絡
• 讀取和發(fā)送短信
• 讀取通知
• 撥打語音電話
• 刪除應用程序

受害者使用目標應用程序時，FluBot 會進行覆蓋攻擊：

分發(fā)郵件

TeaBot

TeaBot 最早出現在意大利，可以將感染設備的屏幕流傳輸給攻擊者。針對六十多家歐洲的銀行竊取憑據，主要攻擊西班牙和德國的金融機構。

TeaBot 的傳播方式與 FluBot 類似，也可以通過鍵盤記錄攔截 Google Authenticator 代碼，進一步攻陷賬戶以及竊取資金。

分發(fā)郵件

TangleBot

TangleBot 在 2021 年被發(fā)現，主要通過虛假的包裹投遞通知進行傳播。最初在北美廣泛傳播，近期在土耳其被發(fā)現。

分發(fā)頁面

TangleBot 的攻擊仍然屬于小眾的，但是一旦它普及開來是十分危險的。尚不清楚為什么 TangleBot 的感染量如此之低，有可能是更大規(guī)模攻擊的前奏。

Moqhao

Moqhao 是一個基于短信進行傳播的惡意軟件，由 Roaming Mantis 組織開發(fā)。針對日本、中國、印度、俄羅斯、法國和德國發(fā)起攻擊。

其木馬具備間諜與滲透功能，能夠監(jiān)聽設備通信并獲取攻擊者對設備的遠程訪問權限。

BRATA

BRATA 主要針對意大利銀行客戶，使用短信引誘其下載虛假的安全應用程序。安裝惡意軟件后，BRATA 會記錄設備的屏幕活動并進行覆蓋攻擊竊取憑據。BRATA 還會攔截多因子認證，最近還更新了位置跟蹤和設備擦除的能力。

TianySpy

TianySpy 通過仿冒運營商的消息進行傳播，攻擊日本用戶。值得注意的是，TianySpy 能夠同時攻擊 iOS 和 Android。

在安卓設備中，攻擊者還額外加載了名為 KeepSpy惡意樣本。攻擊者可以：

• 控制和監(jiān)控 WiFi 設置
• 竊取信息
• 執(zhí)行網絡覆蓋

在蘋果設備中，使用設備的唯一設備標識符(UUID)通過配置文件進行傳播。開發(fā)人員通常使用配置文件在應用程序正式發(fā)布前進行測試，或將內部應用分發(fā)給員工。