潛伏在Google Play商店中的近500個(gè)惡意應(yīng)用程序已經(jīng)成功地在全球超過(guò)1億臺(tái)安卓設(shè)備上安裝了Dark Herring惡意軟件，該惡意軟件是一種會(huì)偷偷摸摸將其他收費(fèi)項(xiàng)目添加到用戶的移動(dòng)運(yùn)營(yíng)商業(yè)務(wù)上的軟件。

受害者數(shù)量龐大

Dark Herring惡意軟件是由Zimperium的一個(gè)研究小組發(fā)現(xiàn)的，他們估計(jì)該惡意活動(dòng)竊取的金額已經(jīng)過(guò)億，每個(gè)受害者每月要多花費(fèi)15美元。谷歌此后從Google Play中刪除了所有的470個(gè)惡意應(yīng)用程序，該公司表示目前詐騙服務(wù)已經(jīng)停止，但已經(jīng)安裝了這些應(yīng)用程序的用戶可能在以后仍然會(huì)被攻擊。這些應(yīng)用程序在第三方應(yīng)用程序商店中也仍然可以被下載到。

世界各地的移動(dòng)消費(fèi)者，尤其是那些銀行服務(wù)并不完善的地區(qū)，都是依賴運(yùn)營(yíng)商直接計(jì)費(fèi)(DCB)來(lái)進(jìn)行支付的，這種方式會(huì)將非電信服務(wù)的費(fèi)用添加到消費(fèi)者的每月電話賬單中。這些特點(diǎn)對(duì)于攻擊者來(lái)說(shuō)，這是一個(gè)非常好的攻擊目標(biāo)。

報(bào)告解釋說(shuō)，在這種情況下，額外收取15美元的費(fèi)用不一定會(huì)讓終端用戶在短時(shí)間內(nèi)注意到它，但在超過(guò)1億個(gè)賬戶中進(jìn)行竊取，這樣就可以獲取大量的金額。

研究人員報(bào)告說(shuō)："下載統(tǒng)計(jì)數(shù)據(jù)顯示，在全球范圍內(nèi)，有超過(guò)1.05億臺(tái)安卓設(shè)備安裝了這種惡意軟件，它們成為了這一攻擊活動(dòng)的受害者，可能會(huì)遭到不可估量的經(jīng)濟(jì)損失。這個(gè)攻擊活動(dòng)背后的網(wǎng)絡(luò)犯罪集團(tuán)可能已經(jīng)從這些受害者那里獲得了一個(gè)穩(wěn)定的資金流，每月會(huì)產(chǎn)生數(shù)百萬(wàn)的收入，被盜總金額可能達(dá)數(shù)億。"

報(bào)告說(shuō)，該攻擊活動(dòng)最早在2020年3月被發(fā)現(xiàn)，并一直持續(xù)到了去年11月。

分析師說(shuō)，該詐騙軟件很可能是一個(gè)新興黑客團(tuán)體開(kāi)發(fā)進(jìn)行攻擊的，因?yàn)樗褂昧诵碌募夹g(shù)和基礎(chǔ)設(shè)施。

分析師認(rèn)為，Dark Herring能夠攻擊成功是各種策略相互作用的結(jié)果;他們還使用了地理定位，這樣應(yīng)用程序就會(huì)為受害者提供母語(yǔ)來(lái)進(jìn)行閱讀。

該團(tuán)隊(duì)補(bǔ)充說(shuō)："這種社會(huì)工程學(xué)的攻擊方式非常成功和有效，因?yàn)橛脩敉ǔ８敢庥盟麄兊谋镜卣Z(yǔ)言從網(wǎng)站獲取信息。該攻擊活動(dòng)的范圍非常大，通過(guò)改變應(yīng)用程序的語(yǔ)言，針對(duì)70多個(gè)國(guó)家的移動(dòng)用戶進(jìn)行攻擊，并根據(jù)當(dāng)前用戶的IP地址調(diào)整顯示的內(nèi)容。"

分析人士指出，Dark Herring背后的攻擊集團(tuán)還建立了470個(gè)高質(zhì)量的應(yīng)用程序，并且通過(guò)了官方應(yīng)用程序商店的審核。這些應(yīng)用程序的功能都與宣傳的一樣，而且分布在各種不同類別的應(yīng)用程序中。

報(bào)告解釋說(shuō)："能夠制作出大量的惡意應(yīng)用程序并將其提交給應(yīng)用程序商店，表明這是一個(gè)組織良好的團(tuán)體。這些應(yīng)用程序可能不僅僅是對(duì)其他應(yīng)用程序的克隆，而且還能繞過(guò)傳統(tǒng)的安全工具集來(lái)對(duì)受害者進(jìn)行攻擊"。

除了使用強(qiáng)大的基礎(chǔ)設(shè)施，Dark Herring在攻擊活動(dòng)中還使用了代理來(lái)進(jìn)行隱藏。而且由于應(yīng)用程序的地理定位功能，還能夠縮小搜索范圍，尋找受害者。

例如，研究人員發(fā)現(xiàn)，攻擊者更傾向于針對(duì)那些對(duì)移動(dòng)用戶保護(hù)力度不太嚴(yán)格的國(guó)家的用戶進(jìn)行攻擊，包括埃及、芬蘭、印度、巴基斯坦和瑞典。報(bào)告說(shuō)，由于DCB的性質(zhì)，一些國(guó)家可能會(huì)由于電信公司設(shè)置的消費(fèi)者保護(hù)措施而免受黑客的攻擊。

攻擊手法解析

研究人員說(shuō)，在技術(shù)方面，一旦該安卓應(yīng)用被安裝和啟動(dòng)，一個(gè)托管在Cloudfront的Webview就會(huì)加載一個(gè)惡意的URL。然后，該惡意軟件會(huì)向該URL發(fā)送一個(gè)GET請(qǐng)求，該URL會(huì)發(fā)回一個(gè)響應(yīng)，其中就包含了托管在亞馬遜網(wǎng)絡(luò)服務(wù)云實(shí)例上的JavaScript文件的鏈接。

該應(yīng)用程序然后就會(huì)獲取這些資源，然后這些資源就會(huì)對(duì)設(shè)備進(jìn)行感染，啟用地理定位功能。

根據(jù)分析，其中一個(gè)JavaScript文件會(huì)指示應(yīng)用程序向"live/keylookup "API端點(diǎn)發(fā)出POST請(qǐng)求來(lái)獲得設(shè)備的唯一標(biāo)識(shí)符，然后構(gòu)建最終的一個(gè)URL。Baseurl變量被用來(lái)發(fā)出POST請(qǐng)求，其中就包含了該應(yīng)用程序創(chuàng)建的唯一標(biāo)識(shí)符，用來(lái)識(shí)別設(shè)備以及語(yǔ)言和國(guó)家的詳細(xì)信息。

最終的URL響應(yīng)包含了受害者的配置信息，攻擊者會(huì)根據(jù)受害者的詳細(xì)信息來(lái)決定其下一步的攻擊行為?；谶@個(gè)功能，受害者會(huì)收到一個(gè)移動(dòng)網(wǎng)頁(yè)，要求他們提交他們的電話號(hào)碼來(lái)激活該應(yīng)用程序(和DCB收費(fèi))。這個(gè)頁(yè)面中文本的語(yǔ)言、顯示的旗幟和國(guó)家代碼都是定制的。

報(bào)告說(shuō)："證據(jù)還表明，惡意攻擊者在建設(shè)和維護(hù)基礎(chǔ)設(shè)施方面進(jìn)行了大量的資金投入，這樣可以保持這個(gè)全球騙局高速的運(yùn)轉(zhuǎn)。”

由于Dark Herring獲得了明顯的成就，Zimperium表示，這個(gè)網(wǎng)絡(luò)犯罪集團(tuán)可能還會(huì)進(jìn)行再次的攻擊。

本文翻譯自：https://threatpost.com/dark-herring-billing-malware-android/178032/