官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
1. 攻击者使用社会工程SMS 消息和恶意软件来危害数万台设备并耗尽用户银行账户
攻击者冒充伊朗政府进行广泛的短信网络钓鱼活动,通过在他们的设备上安装恶意软件来欺骗成千上万的 Android 用户,这些恶意软件可以窃取他们的信用卡数据并从金融账户中窃取资金。 Check Point 研究人员估计,该活动会发送所谓的“smishing”消息,诱使受害者访问恶意网站,已经破坏了数万台设备。他们在周三发布的一份报告中说,这导致数十亿伊朗里亚尔(或数十万美元)被盗。 该活动利用标准的短信攻击进行,使用发送到潜在受害者设备的社会工程短信来引诱他们访问恶意网站。受害者通过恶意链接输入帐户信息,而 Android 恶意软件会在设备上静默安装后门。 该报告中称“当前这些活动值得注意的是攻击的规模之大” “数量空前的受害者”在社交网络上分享了类似的故事,讲述了银行账户如何被网络犯罪分子榨干。
2. 后门功能
通过恶意站点传送到目标的恶意软件具有许多后门功能,攻击者从人们的帐户中窃取资金,在他们的设备上保持常驻并接管设备。
恶意软件会立即将受害者的所有 SMS 消息窃取到命令和控制 (C2) 服务器;通过这种类型的数据访问,攻击者可以绕过金融账户的双因素身份验证 (2FA) 并进行未经授权的账户提款。
该应用程序还将其图标隐藏在设备上,使人们难以删除或控制该应用程序。然后后门可以保持持久性并使用其僵尸网络功能,通过 Firebase Cloud Messaging 与 C2 服务器通信,以允许攻击者在受害者的设备上执行其他命令。研究人员表示,这可能包括窃取联系人和发送短信。
该恶意软件还有一个恶意的组件,它可以通过使用自定义消息和从 C2 服务器检索到的电话号码列表向潜在受害者列表发送 SMS 消息来扩大活动的攻击面。攻击者通过这种方式绕过电信公司对“恶意”号码的阻止,因为短信是从已识别用户的电话号码发送的。
3. 攻击顺序
攻击通常始于来自电子司法通知系统的短信消息,受害者已对他们提出投诉(在伊朗很严重)。
“当涉及官方政府信息时,大多数公民在点击链接之前不会三思而后行。”
该链接将目标定向到一个看起来像政府官方网站的网站,表面上是为了阅读完整的投诉。在那里,用户被要求输入个人身份信息以进入电子系统进行操作,使用当前的 COVID 限制作为必须以电子方式完成的原因。
完成此操作后,该活动会将受害者重定向到一个页面以下载恶意 .apk 文件,该文件一旦安装,就会显示伊朗电子司法通知系统身份验证服务的虚假登录页面。
该页面看起来是真实的,要求受害者输入他或她的手机和国民身份.证号码,并通知受害者一小笔费用——通常是 20,000 或有时50,000 伊朗里亚尔,相当于 1 美元——需要继续,微小的金额减轻了可疑性并使交易看起来合法。
输入详细信息后,目标将被重定向到支付页面,一旦受害者完成交易,就会显示“支付错误”消息——这是攻击者已经拿走钱和该人的支付信息的信号。该活动的恶意软件负载此时也已安装在个人设备上,允许攻击者继续进行进一步的盗窃和其他恶意活动。
