2022 年 2 月以來，研究人員發(fā)現(xiàn)歐洲的移動惡意軟件傳播增加了 500%。隨著攻擊者將目標(biāo)轉(zhuǎn)向移動端，移動端的攻擊行為正在穩(wěn)步增加。在 2021 年底的急劇下降并未能維持住，而是在 2022 年年初迎來了強(qiáng)勢反彈。

傳播高峰

現(xiàn)今的移動惡意軟件不僅僅是竊取憑據(jù)，還有可能進(jìn)行位置跟蹤、數(shù)據(jù)擦除、音視頻記錄等惡意行為。

安卓與蘋果

大多數(shù)移動端的惡意軟件還是通過應(yīng)用商店進(jìn)行傳播的，但在過去一年，通過短信傳播的行為有所增加。

蘋果的 iOS 系統(tǒng)是不允許 sideloading 的，即通過第三方應(yīng)用商店安裝應(yīng)用或者直接下載安裝，故而犯罪分子更喜歡安卓。

移動惡意軟件業(yè)態(tài)

移動惡意軟件也正在變得越來越先進(jìn)，除了數(shù)據(jù)竊密外還會產(chǎn)生更大的影響：

• 記錄電話與非電話通話
• 錄制設(shè)備視頻與音頻
• 銷毀或擦除數(shù)據(jù)

相比通過釣魚網(wǎng)站引誘用于輸入憑據(jù)，移動惡意軟件可以在用戶使用金融應(yīng)用程序時(shí)進(jìn)行竊密，而受害者會認(rèn)為他們在使用正版的應(yīng)用程序。

常見惡意軟件

攻擊者通常會根據(jù)語言、地區(qū)和設(shè)備調(diào)整攻擊行動：

常見惡意軟件

FluBot

2020 年 11 月，F(xiàn)luBot 在西班牙被發(fā)現(xiàn)，后來傳播到英國、德國、澳大利亞、新西蘭、西班牙、奧地利、瑞士等國。

FluBot 竊取聯(lián)系人列表回傳至 C&C 服務(wù)器，并且向這些聯(lián)系人發(fā)送新的消息進(jìn)行傳播感染。

FluBot 的功能如下所示：

• 連接網(wǎng)絡(luò)
• 讀取和發(fā)送短信
• 讀取通知
• 撥打語音電話
• 刪除應(yīng)用程序

受害者使用目標(biāo)應(yīng)用程序時(shí)，F(xiàn)luBot 會進(jìn)行覆蓋攻擊：

分發(fā)郵件

TeaBot

TeaBot 最早出現(xiàn)在意大利，可以將感染設(shè)備的屏幕流傳輸給攻擊者。針對六十多家歐洲的銀行竊取憑據(jù)，主要攻擊西班牙和德國的金融機(jī)構(gòu)。

TeaBot 的傳播方式與 FluBot 類似，也可以通過鍵盤記錄攔截 Google Authenticator 代碼，進(jìn)一步攻陷賬戶以及竊取資金。

分發(fā)郵件

TangleBot

TangleBot 在 2021 年被發(fā)現(xiàn)，主要通過虛假的包裹投遞通知進(jìn)行傳播。最初在北美廣泛傳播，近期在土耳其被發(fā)現(xiàn)。

分發(fā)頁面

TangleBot 的攻擊仍然屬于小眾的，但是一旦它普及開來是十分危險(xiǎn)的。尚不清楚為什么 TangleBot 的感染量如此之低，有可能是更大規(guī)模攻擊的前奏。

Moqhao

Moqhao 是一個(gè)基于短信進(jìn)行傳播的惡意軟件，由 Roaming Mantis 組織開發(fā)。針對日本、中國、印度、俄羅斯、法國和德國發(fā)起攻擊。

其木馬具備間諜與滲透功能，能夠監(jiān)聽設(shè)備通信并獲取攻擊者對設(shè)備的遠(yuǎn)程訪問權(quán)限。

BRATA

BRATA 主要針對意大利銀行客戶，使用短信引誘其下載虛假的安全應(yīng)用程序。安裝惡意軟件后，BRATA 會記錄設(shè)備的屏幕活動并進(jìn)行覆蓋攻擊竊取憑據(jù)。BRATA 還會攔截多因子認(rèn)證，最近還更新了位置跟蹤和設(shè)備擦除的能力。

TianySpy

TianySpy 通過仿冒運(yùn)營商的消息進(jìn)行傳播，攻擊日本用戶。值得注意的是，TianySpy 能夠同時(shí)攻擊 iOS 和 Android。

在安卓設(shè)備中，攻擊者還額外加載了名為 KeepSpy惡意樣本。攻擊者可以：

• 控制和監(jiān)控 WiFi 設(shè)置
• 竊取信息
• 執(zhí)行網(wǎng)絡(luò)覆蓋

在蘋果設(shè)備中，使用設(shè)備的唯一設(shè)備標(biāo)識符(UUID)通過配置文件進(jìn)行傳播。開發(fā)人員通常使用配置文件在應(yīng)用程序正式發(fā)布前進(jìn)行測試，或?qū)?nèi)部應(yīng)用分發(fā)給員工。