安全研究人员警告说,犯罪分子通过使用伪装成TikTok的恶意安卓应用程序和针对笔记本电脑的虚假广告信息,将印度的Jio电信网络作为目标。Zscaler的研究人员报告说,自2020年3月以来,这个威胁行为者一直在运行各种网络钓鱼诈骗,所有这些诈骗都使用最近的头条新闻作为攻击的诱饵。报告发现,他们最近试图通过使用社会工程学攻击让用户下载他们的假TikTok应用程序,声称该应用程序在印度被禁止,现在仍然可以使用。另一个骗局涉及欺骗受害者,让他们认为自己有资格从印度政府那里获得一台免费的联想笔记本电脑。针对JIO用户DeepenDesai,ZscalerCISO告诉Threatpost:“犯罪分子使用的恶意软件有一些共同的特征,这在其他犯罪团伙中也很常见。例如,它使用常见的持久性控制方法,使用受害者的联系信息来传播范围广,攻击活动针对性很强,利用Weebly、GitHub等资源平台向受害者传播恶意信息。”目标很明确,范围很广。JioTelecom为印度一半以上的互联网用户提供服务。根据印度电信监管局2020年3月的报告,印度有超过7.43亿互联网用户。他补充说,Zscaler团队观察到200多个恶意Android应用程序,所有这些应用程序都使用“与印度时事相关的主题”进行攻击。报告表明,威胁行为者正在使用Jio的网络向用户发送SMS或WhatsApp消息,附加网络钓鱼消息和虚假产品链接来攻击他们。该报告解释说,该链接会将用户引导至由网络犯罪分子控制的Weebly托管网站。“我们在Zscaler云中观察到,在原始下载请求中,用户代理字符串为“WhatsApp/2.21.4.22”。根据分析,该信息可以表明用户点击了WhatsApp消息中的链接。“该报告补充了更多其他URL示例。网站:https://tiktokplus[.]weebly.com/。缩短链接:http://tiny[.]cc/Tiktok_pro。网址:https://tiktokplus[.]weebly.com/。GitHub下载链接:https://github.com/breakingnewsindia/t1/raw/main/Tiktik-h[dot]apk一旦用户进入恶意网站,攻击者会尝试让用户下载一个安卓包(APK)文件。在以联想为主题的攻击中,APK调用datalaile.class,首先检查权限,如果没有,则显示一条消息,“启动此应用程序需要权限!”,报告称。一旦用户授予权限,将显示一个表单,要求用户输入帐户和密码。攻击链的下一步是让攻击者尽可能广泛地传播恶意软件。在TikTok攻击案例中,恶意软件会提示受害者在WhatsApp上分享恶意链接10次。“恶意程序不会检查用户是否安装了WhatsApp,如果没有安装WhatsApp,它会显示一条Toast消息,内容为‘WhatsApp未安装’,”研究人员说。消息分享给其他10人后,会显示祝贺信息,点击后会调用clickendra.class文件。该类会展示广告,最后展示“TikTok将在1小时后启动”的提示信息。Ad-Stuffer恶意软件报告:“网络攻击者使用这些应用程序通过向用户显示中间广告来创收。软件中有两个软件开发工具包(SDK)用于此目的。通过使用故障转移机制,如果其中之一它使用的SDK未能检索到广告,然后它使用下一个。”他们补充说,在应用程序中观察到的两个SDK是AppLovin和StartApp。该报告补充说:“在显示广告之前,软件会为用户创建一个虚假的视图,其中包含虚假的文本消息和顶部的虚假进度条。设置视图后,将发送获取广告的请求..如果广告接收成功,那么它会显示广告并隐藏假进度条,否则它会发送加载下一个广告的请求。”Zscaler团队观察到,如果广告加载失败,恶意软件调用lastactivity.class向受害者显示一条消息,要求他们“点击广告并继续安装应用程序”。“它改变了内容视图结构,再次初始化StartAppSDK,像以前一样创建一个假进度条,并在收到传入广告时将其显示给用户,”报告称。恶意软件传播者研究人员用于传播恶意程序的代码是felavo.class,它执行两个关键功能。初始化应用程序并通过短信分发恶意链接只会发送给其他Jio客户。报告解释说:“用于传播该应用程序的诱饵信息是加密存储的,在初始化阶段,该服务配置了加密内容,可用于稍后解密诱饵消息。”研究团队发现,该恶意软件可以获取用户的联系人列表,通过查看联系人列表查找属于Jio运营商的其他号码。Zscaler表示将继续监控威胁行为者,用户需要意识到这些攻击威胁将始终存在,需要采取更多预防措施来保护自己。他建议:“在下载任何应用程序时,请使用受信任且合法的应用程序商店,切勿从未经验证的链接下载应用程序,即使它们来自您信任的联系人。”本文翻译自:https://threatpost.com/adware-tiktok-laptop-offers/165318/如有转载请注明出处。
