網(wǎng)絡(luò)犯罪分子正竭盡全力從冠狀病毒大流行及混亂中受益。他們誘騙用戶的陷阱是發(fā)布偽裝成COVID-19最新消息的惡意間諜程序。

網(wǎng)絡(luò)安全研究人員在2020年3月底發(fā)現(xiàn)了正在進行的網(wǎng)絡(luò)間諜活動，他們將其命名為Project Spy。

[[327788]]

根據(jù)他們的評估，通過Project Spy，攻擊者正在利用冠狀病毒的緊張形勢傳播，Wabi Music，Concipit 1248和Concipit Shop等應(yīng)用程序會利用用戶的不知情，讓間諜軟件感染Android和iOS設(shè)備。

這些間諜程序會在應(yīng)用程序執(zhí)行功能時截取信息，包括竊取Telegram，WhatsApp，Threema和Facebook的數(shù)據(jù)。

此外，它還可以收集語音信息，通話記錄和聯(lián)系信息，敏感的設(shè)備信息(例如設(shè)備ID，IMEI編號，制造商，硬件，型號，引導(dǎo)程序，標(biāo)簽，主機，應(yīng)用程序和操作系統(tǒng)版本)。

圖像，SIM卡信息(包括MCC-移動國家/地區(qū)，IMCI操作員代碼，SIM卡序列號甚至手機號碼。

[[327789]]

此外，它會向攻擊者上傳WiFi信息，包括MAC地址，SSID和WiFi速度，以及來自移動設(shè)備的其他數(shù)據(jù)，例如指紋，日期，時間，顯示，并會對信息進行修改。

假Android應(yīng)用程序(左)–兩個針對iOS的假冒應(yīng)用程序(右)–圖片來源：趨勢科技

該應(yīng)用程序當(dāng)前針對印度，巴基斯坦，孟加拉國，阿富汗，伊朗，俄羅斯，沙特阿拉伯，羅馬尼亞和格林納達的Android和iOS用戶。

該活動利用其后端服務(wù)器的登錄頁面而被稱為Project Spy。它通過利用通知權(quán)限來訪問通知內(nèi)容并將其存儲到攻擊者的數(shù)據(jù)庫中，從應(yīng)用程序中竊取消息。

要訪問其他存儲，則會要求用戶的許可。該應(yīng)用程序的編碼風(fēng)格非常業(yè)余，這也許就是為什么下載數(shù)量相對較低的原因。研究人員聲稱，該應(yīng)用似乎正處于孵化階段。

防治方法一：建議用戶在下載應(yīng)用之前，請先研究并檢查其評論。

• 下載前，請觀察并查看應(yīng)用程序的顯示和文本，聲明的功能，其他用戶的評論以及所請求的權(quán)限。
• 研究人員在其博客文章中建議，請確保已安裝所有其他應(yīng)用程序和設(shè)備操作系統(tǒng)為最新版本。

[[327790]]

另一方面，Pradeo Lab的IT安全研究人員還發(fā)現(xiàn)了誤導(dǎo)性的Wallpaper應(yīng)用程序，該應(yīng)用程序于2月發(fā)布，到目前為止，該應(yīng)用程序的多個版本已經(jīng)發(fā)布。該應(yīng)用程序聲稱可提供針對冠狀病毒的防護信息。

該信息是從許多知名新聞服務(wù)機構(gòu)復(fù)制的，例如約翰·霍普金斯大學(xué)，雅虎新聞社和世界衛(wèi)生組織(WHO)。

犯罪分子的假冒應(yīng)用程序還有一個名為“主題”的選項卡，它是應(yīng)用程序開發(fā)人員的真正游戲規(guī)則改變者。主題部分在那里推廣免費和付費墻紙主題。

下載應(yīng)用后不久，用戶開始收到有關(guān)新墻紙主題的通知，其主要目標(biāo)在所有版本中均保持不變，而每個新版本均進行了細微調(diào)整，以進一步誘導(dǎo)用戶進行下載。

針對Android用戶的惡意應(yīng)用(圖片來自Pradeo)

因此，可以理解的是，該應(yīng)用程序僅是一種嘗試，以促進應(yīng)用程序的下載和下載，并通過推廣應(yīng)用程序和付費主題產(chǎn)生直接利潤。另一個目標(biāo)是提高應(yīng)用程序在商店中的排名。

請記住，這不是黑客第一次使用冠狀病毒傳播惡意軟件感染或欺騙毫無戒心的用戶。目前，假的冠狀病毒疫苗在暗網(wǎng)上出售，同時并沒有終止。實際上，還建立了偽造的病毒傳播實時地圖，以將惡意軟件傳播到全球。