来自Zscaler的研究人员报告说,这个威胁行为者自2020年3月以来就一直在进行各种网络钓鱼诈骗活动,都是在利用最近的头条新闻作为诱饵进行攻击。
报告发现,他们最近通过使用社会工程学攻击尝试使用户下载他们伪造的虚假TikTok应用程序,宣称这个在印度被禁止的应用程序现在还可以继续使用。另一个诈骗方式则是欺骗受害者,让他们以为自己有资格获得由印度政府提供的免费的联想笔记本电脑。
针对JIO的用户进行攻击
Zscaler CISO的Deepen Desai告诉Threatpost:"犯罪分子所使用的恶意软件有一些共同的特征,这在其他犯罪团伙中也是很常见的。例如,它使用了常见的持久性控制的方法,利用受害者的联系人信息进行大范围传播,攻击活动的针对性非常强,并且利用Weebly和GitHub等资源平台向受害者传播恶意信息。"
目标明确而且范围很广泛。Jio电信公司为印度一半以上的互联网用户提供服务,根据印度电信管理局2020年3月的报告,印度互联网用户超过7.43亿人。
他补充说,Zscaler团队观察到有200多个恶意Android应用,他们都使用了"与印度时事相关的主题"进行攻击。
报告显示,威胁行为者向使用Jio网络的用户发送短信或WhatsApp消息,并附上钓鱼信息和虚假的商品链接对其进行攻击。该报告解释说,链接会引导用户到一个由网络犯罪分子控制的Weebly托管的网站。
"我们在Zscaler云中观察到在原始下载请求中,用户代理的字符串是” WhatsApp/2.21.4.22”。根据分析,这些信息可以表明,该链接是由用户在WhatsApp消息中点击的"。
Ad-Stuffer恶意软件
报告说:"网络攻击者会使用这些应用程序向用户显示中间广告来获得收入,软件中有两个软件开发工具包(SDK)可以达到这个目的。通过使用故障切换机制,如果它使用的一个SDK检索广告失败,那么它就会使用下一个SDK。"
他们补充说,在应用程序中观察到的两个SDK是AppLovin和StartApp。
报告补充道:"在显示广告之前,软件就会为用户创建一个虚假的视图,其中就包含了一个假的文本信息和顶部虚假的进度条,在设置了视图后,会发送一个获取广告的请求。如果成功接收到了广告,那么就会显示广告并隐藏那个虚假的进度条,否则就会发送加载下一个广告的请求。"
Zscaler团队观察到,如果广告加载失败,恶意软件会调用lastactivity.class向受害者显示一条信息,要求他们 "点击广告并继续安装应用"。报告说:"它改变了内容视图结构,会再次初始化StartApp SDK,像之前一样创建一个虚假的进度条,如果收到了发来的广告,那么它就会显示给用户。"
恶意软件传播者
研究人员表示,用于传播该恶意程序的代码是felavo.class,它执行了两个关键的功能。初始化应用程序和通过短信传播恶意链接,短信只会发送给其他Jio客户。
报告解释说:"用于传播应用程序的诱饵信息被加密存储,在初始化阶段,服务配置了加密的内容,可以用于以后解密诱饵信息。"
研究团队发现,该恶意软件可以获取用户的联系人列表,通过查看联系人列表来寻找其他属于Jio运营商的号码。
Zscaler表示,它将会继续监控威胁行为者,用户也需要意识到这些攻击威胁是会一直存在的,需要采取更多的预防措施来保护自己。
他建议:"在下载任何应用程序时,都要使用可信的合法的应用商店来下载,不要从未经验证的链接中下载应用程序,即使它们来自你所信任的联系人。"
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
