安全研究人員警告說，犯罪分子通過使用偽裝成TikTok的惡意Android應(yīng)用程序和虛假的筆記本電腦的廣告信息來針對印度的Jio電信網(wǎng)絡(luò)進(jìn)行攻擊。

來自Zscaler的研究人員報告說，這個威脅行為者自2020年3月以來就一直在進(jìn)行各種網(wǎng)絡(luò)釣魚詐騙活動，都是在利用最近的頭條新聞作為誘餌進(jìn)行攻擊。

報告發(fā)現(xiàn)，他們最近通過使用社會工程學(xué)攻擊嘗試使用戶下載他們偽造的虛假TikTok應(yīng)用程序，宣稱這個在印度被禁止的應(yīng)用程序現(xiàn)在還可以繼續(xù)使用。另一個詐騙方式則是欺騙受害者，讓他們以為自己有資格獲得由印度政府提供的免費的聯(lián)想筆記本電腦。

針對JIO的用戶進(jìn)行攻擊

Zscaler CISO的Deepen Desai告訴Threatpost："犯罪分子所使用的惡意軟件有一些共同的特征，這在其他犯罪團(tuán)伙中也是很常見的。例如，它使用了常見的持久性控制的方法，利用受害者的聯(lián)系人信息進(jìn)行大范圍傳播，攻擊活動的針對性非常強(qiáng)，并且利用Weebly和GitHub等資源平臺向受害者傳播惡意信息。"

目標(biāo)明確而且范圍很廣泛。Jio電信公司為印度一半以上的互聯(lián)網(wǎng)用戶提供服務(wù)，根據(jù)印度電信管理局2020年3月的報告，印度互聯(lián)網(wǎng)用戶超過7.43億人。

他補(bǔ)充說，Zscaler團(tuán)隊觀察到有200多個惡意Android應(yīng)用，他們都使用了"與印度時事相關(guān)的主題"進(jìn)行攻擊。

報告顯示，威脅行為者向使用Jio網(wǎng)絡(luò)的用戶發(fā)送短信或WhatsApp消息，并附上釣魚信息和虛假的商品鏈接對其進(jìn)行攻擊。該報告解釋說，鏈接會引導(dǎo)用戶到一個由網(wǎng)絡(luò)犯罪分子控制的Weebly托管的網(wǎng)站。

"我們在Zscaler云中觀察到在原始下載請求中，用戶代理的字符串是” WhatsApp/2.21.4.22”。根據(jù)分析，這些信息可以表明，該鏈接是由用戶在WhatsApp消息中點擊的"。

報告還補(bǔ)充了更多其他的URL例子。

網(wǎng)站：https://tiktokplus[.]weebly.com/。

縮短鏈接：http://tiny[.]cc/Tiktok_pro。

網(wǎng)址：https://tiktokplus[.]weebly.com/。

GitHub下載鏈接: https://github.com/breakingnewsindia/t1/raw/main/Tiktik-h[dot]apk

一旦用戶進(jìn)入到了惡意網(wǎng)站，攻擊者就會試圖讓用戶下載一個Android包(APK)文件。

報道稱，在以Lenovo為主題的攻擊中，APK會調(diào)用datalaile.class，首先檢查是否有權(quán)限，如果沒有，就會顯示一條消息，說："需要權(quán)限才能啟動該應(yīng)用程序!"。一旦用戶授予了該權(quán)限，就會顯示一個表單要求用戶輸入賬號和密碼。

攻擊鏈條的下一步是攻擊者會盡可能廣泛地傳播惡意軟件。在TikTok攻擊例子中，惡意軟件會提示受害者在WhatsApp上分享惡意鏈接10次。

研究人員說："該惡意程序不會檢查用戶是否安裝了WhatsApp，在WhatsApp沒有安裝的情況下，會顯示一條Toast消息，內(nèi)容為'WhatsApp沒有安裝'。"

一旦消息被分享給了其他10人，就會顯示出祝賀的信息，點擊后會調(diào)用clickendra.class文件，該class會顯示廣告，最后顯示提示信息"TikTok將在1小時后啟動 "。

Ad-Stuffer惡意軟件

報告說："網(wǎng)絡(luò)攻擊者會使用這些應(yīng)用程序向用戶顯示中間廣告來獲得收入，軟件中有兩個軟件開發(fā)工具包(SDK)可以達(dá)到這個目的。通過使用故障切換機(jī)制，如果它使用的一個SDK檢索廣告失敗，那么它就會使用下一個SDK。"

他們補(bǔ)充說，在應(yīng)用程序中觀察到的兩個SDK是AppLovin和StartApp。

報告補(bǔ)充道："在顯示廣告之前，軟件就會為用戶創(chuàng)建一個虛假的視圖，其中就包含了一個假的文本信息和頂部虛假的進(jìn)度條，在設(shè)置了視圖后，會發(fā)送一個獲取廣告的請求。如果成功接收到了廣告，那么就會顯示廣告并隱藏那個虛假的進(jìn)度條，否則就會發(fā)送加載下一個廣告的請求。"

Zscaler團(tuán)隊觀察到，如果廣告加載失敗，惡意軟件會調(diào)用lastactivity.class向受害者顯示一條信息，要求他們 "點擊廣告并繼續(xù)安裝應(yīng)用"。報告說："它改變了內(nèi)容視圖結(jié)構(gòu)，會再次初始化StartApp SDK，像之前一樣創(chuàng)建一個虛假的進(jìn)度條，如果收到了發(fā)來的廣告，那么它就會顯示給用戶。"

惡意軟件傳播者

研究人員表示，用于傳播該惡意程序的代碼是felavo.class，它執(zhí)行了兩個關(guān)鍵的功能。初始化應(yīng)用程序和通過短信傳播惡意鏈接，短信只會發(fā)送給其他Jio客戶。

報告解釋說："用于傳播應(yīng)用程序的誘餌信息被加密存儲，在初始化階段，服務(wù)配置了加密的內(nèi)容，可以用于以后解密誘餌信息。"

研究團(tuán)隊發(fā)現(xiàn)，該惡意軟件可以獲取用戶的聯(lián)系人列表，通過查看聯(lián)系人列表來尋找其他屬于Jio運營商的號碼。

Zscaler表示，它將會繼續(xù)監(jiān)控威脅行為者，用戶也需要意識到這些攻擊威脅是會一直存在的，需要采取更多的預(yù)防措施來保護(hù)自己。

他建議："在下載任何應(yīng)用程序時，都要使用可信的合法的應(yīng)用商店來下載，不要從未經(jīng)驗證的鏈接中下載應(yīng)用程序，即使它們來自你所信任的聯(lián)系人。"

本文翻譯自：https://threatpost.com/adware-tiktok-laptop-offers/165318/如若轉(zhuǎn)載，請注明原文地址。