广告软件和其他有害且有潜在风险的应用程序仍然是移动设备用户当前面临的最大威胁。但这并不意味着攻击者不会不断尝试部署其他复杂的移动恶意软件。
最新的例子是“SandStrike”,这是一个用于在 Android 设备上加载间谍软件的诱杀 VPN 应用程序。该恶意软件旨在查找并窃取受感染设备中的通话记录、联系人列表和其他敏感数据;卡巴斯基在本周的一份报告中表示,它还可以跟踪和监控目标用户。
该安全供应商表示,其研究人员观察到 SandStrike 的运营商试图在属于伊朗巴哈伊社区成员的设备上部署复杂的间谍软件,巴哈伊社区是一个受迫害的讲波斯语的少数群体。但该供应商没有透露威胁行为者可能瞄准或成功感染了多少设备。未能立即联系到卡巴斯基置评。
精心设计的社交媒体诱惑
为了引诱用户下载该武器化应用程序,威胁行为者建立了多个 Facebook 和 Instagram 帐户,所有这些帐户都声称拥有超过 1,000 名粉丝。社交媒体账户上充斥着卡巴斯基所说的有吸引力的宗教主题图形,旨在吸引目标信仰团体成员的注意力。这些帐户通常还包含一个 Telegram 频道的链接,该频道为希望访问包含被禁止宗教材料的网站的用户提供免费的 VPN 应用程序。
据卡巴斯基,威胁行为者甚至建立了自己的 VPN 基础设施,以使该应用程序功能齐全。但当用户下载并使用 SandStrike 时,它会悄悄收集并泄露与受感染设备所有者相关的敏感数据。
该活动只是越来越多的涉及先进基础设施和移动间谍软件的间谍活动中的最新一个——这个领域包括众所周知的威胁,例如 NSO Group 臭名昭著的 Pegasus 间谍软件 以及隐士等新出现的问题.
移动恶意软件呈上升趋势
带有诱杀装置的 SandStrike VPN 应用程序是移动设备上部署的恶意软件工具种类不断增多的一个例子。 Proofpoint 今年早些时候发布的研究强调了 移动恶意软件传播尝试增加 500% 今年第一季度在欧洲。这一增长是在 2021 年底攻击量急剧下降之后发生的。
该电子邮件安全供应商发现,许多新的恶意软件工具的功能远不止窃取凭据:“最近检测到的恶意软件能够记录电话和非电话音频和视频、跟踪位置以及破坏或擦除内容和数据”。
谷歌和苹果的官方移动应用商店仍然是流行的移动恶意软件传播媒介。但威胁行为者也越来越多地使用基于短信的网络钓鱼活动和 SandStrike 活动中出现的那种社会工程诈骗来诱使用户在其移动设备上安装恶意软件。
Proofpoint 还发现,攻击者针对 Android 设备的攻击力度远大于 iOS 设备。 Proofpoint 表示,一个重要原因是 iOS 不允许用户像 Android 那样通过非官方第三方应用商店安装应用程序或直接下载到设备上。
流通中的不同类型的移动恶意软件
Proofpoint 确定最重要的移动恶意软件威胁为 FluBot、TeaBot、TangleBot、MoqHao 和 BRATA。这些恶意软件工具中集成的不同功能包括数据和凭据盗窃、从在线帐户窃取资金以及一般性攻击。 间谍和监视。这些威胁之一——FluBot——自事件发生以来一直保持沉默。 其基础设施遭到破坏 在六月份的协调执法行动中。
Proofpoint 发现移动恶意软件并不局限于特定区域或语言。该公司警告说:“相反,威胁行为者会根据各种语言、地区和设备调整他们的活动。”
与此同时,卡巴斯基表示它阻止了 约 5.5 万次恶意软件、广告软件和危险软件攻击 2 年第二季度针对移动设备的攻击。其中超过 2022% 的攻击涉及广告软件,使其成为目前最常见的移动威胁。但其他值得注意的威胁包括移动银行木马、移动勒索软件工具、间谍软件链接 SandStrike 和 恶意软件下载器。卡巴斯基发现,一些恶意移动应用程序的创建者越来越多地同时针对来自多个国家/地区的用户。
移动恶意软件趋势对企业组织构成了越来越大的威胁,特别是那些允许在工作场所使用不受管理的个人拥有设备的组织。去年,美国网络安全和基础设施安全局(CISA)发布了一份 行动清单 组织可以采取哪些措施来应对这些威胁。其建议包括组织需要实施以安全为中心的移动设备管理;确保只有受信任的设备才被允许访问应用程序和数据;使用强身份验证;禁用对第三方应用程序商店的访问;并确保用户仅使用精选的应用程序商店。
