DarkHerring计费软件冲击1.05亿台Android设备该软件是一款偷偷向用户的移动运营商业务中添加其他费用的软件。大量受害者TheDarkHerring恶意软件是由Zimperium的一个研究团队发现的,他们估计该活动已窃取超过1亿美元,每个受害者每月额外损失15美元。谷歌已经从GooglePlay中删除了所有470个恶意应用程序。该公司表示,诈骗服务已经停止,但安装了这些应用程序的用户将来可能仍会成为目标。这些应用程序也仍然可以在第三方应用程序商店中下载。世界各地的移动消费者,尤其是银行服务不足地区的移动消费者,依靠运营商直接计费(DCB)进行支付,这增加了消费者日常账单中的非电信服务成本。每月电话费。这些特征是攻击者非常好的目标。报告解释说,在这种情况下,额外的15美元费用不一定会在短时间内引起最终用户的注意,但盗窃是在超过1亿个账户中进行的,因此有可能窃取大量资金。研究人员报告说:“下载统计数据显示,全球有超过1.05亿台安装了这种恶意软件的Android设备成为此次活动的受害者,并可能遭受无法估量的经济损失。”.这场运动背后的网络犯罪集团可能从这些受害者那里获得了源源不断的资金,每月产生数百万的收入,被盗的总金额可能在数亿美元。”它于2020年3月首次被发现,一直持续到11月去年。分析师表示,该骗局很可能是由一群新兴的黑客开发的,因为它使用了新技术和基础设施。分析师认为DarkHerring的成功是各种策略相互作用的结果;他们还使用了地理定位,以便该应用程序读取受害者的本地信息该团队补充说:“这种社会工程攻击非常成功和有效,因为用户通常更喜欢从他们母语的网站获取信息。”攻击70多个国家的移动用户,并根据当前的情况调整显示的内容用户的IP地址。”分析人士指出,DarkHerring背后的攻击团伙还构建了470款通过官方应用商店审核的优质应用,这些应用功能都如广告所宣传的那样,分布在各个类别中。”恶意应用程序并将它们提交到应用程序商店表明这是一个组织严密的团体,”报告解释说。这些应用程序可能不仅是其他应用程序的克隆,而且还会绕过传统的安全工具集来攻击受害者。”除了使用强大的基础设施外,DarkHerring还在其攻击活动中使用代理,并且由于该应用程序的地理定位功能,还可以缩小对受害者的搜索范围。例如,研究人员发现,攻击者更有可能针对移动用户保护不那么严格的国家/地区的用户,包括埃及、芬兰、印度、巴基斯坦和瑞典。该报告称,由于DCB的性质,一些国家可能会因电信公司采取的消费者保护措施而免受黑客攻击。在技??术方面,研究人员表示,一旦安装并启动了Android应用程序,托管在Cloudfront上的webview就会加载一个恶意URL。然后,恶意软件向URL发送GET请求,该URL发回包含托管A链接的响应,该链接指向AmazonWebServices云实例上的JavaScript文件。然后应用程序获取这些资源,然后感染设备,启用地理定位。根据分析,其中一个JavaScript文件将应用程序定向到“live/keylookup”API端点发送POST请求以获取设备的唯一标识符,然后构建最终URL。Baseurl变量用于发送POST请求,其中包含应用程序创建的唯一标识符,用于识别设备以及语言和国家详细信息。最终的URL响应包含受害者的配置信息,攻击者将使用受害者的详细信息来确定他的下一次攻击行为。基于此功能,受害者将收到一个移动网页,要求他们提交电话号码以激活该应用程序(以及DCB费用)。此页面中的文本语言、显示的标志和国家代码都是自定义的。报告称:“证据还表明,恶意行为者投入了大量资金来建设和维护使这一全球骗局保持高速运行的基础设施。由于DarkHerring取得了明显的成功,Zimperium表示网络犯罪集团可能会实施另一次攻击。本文翻译自:https://threatpost.com/dark-herring-billing-malware-android/178032/
