信息化觀察網(wǎng)

潛伏在Google Play商店中的近500個惡意應(yīng)用程序已經(jīng)成功地在全球超過1億臺安卓設(shè)備上安裝了Dark Herring惡意軟件，該惡意軟件是一種會偷偷摸摸將其他收費項目添加到用戶的移動運營商業(yè)務(wù)上的軟件。

受害者數(shù)量龐大

Dark Herring惡意軟件是由Zimperium的一個研究小組發(fā)現(xiàn)的，他們估計該惡意活動竊取的金額已經(jīng)過億，每個受害者每月要多花費15美元。谷歌此后從Google Play中刪除了所有的470個惡意應(yīng)用程序，該公司表示目前詐騙服務(wù)已經(jīng)停止，但已經(jīng)安裝了這些應(yīng)用程序的用戶可能在以后仍然會被攻擊。這些應(yīng)用程序在第三方應(yīng)用程序商店中也仍然可以被下載到。

世界各地的移動消費者，尤其是那些銀行服務(wù)并不完善的地區(qū)，都是依賴運營商直接計費（DCB）來進行支付的，這種方式會將非電信服務(wù)的費用添加到消費者的每月電話賬單中。這些特點對于攻擊者來說，這是一個非常好的攻擊目標(biāo)。

報告解釋說，在這種情況下，額外收取15美元的費用不一定會讓終端用戶在短時間內(nèi)注意到它，但在超過1億個賬戶中進行竊取，這樣就可以獲取大量的金額。

研究人員報告說："下載統(tǒng)計數(shù)據(jù)顯示，在全球范圍內(nèi)，有超過1.05億臺安卓設(shè)備安裝了這種惡意軟件，它們成為了這一攻擊活動的受害者，可能會遭到不可估量的經(jīng)濟損失。這個攻擊活動背后的網(wǎng)絡(luò)犯罪集團可能已經(jīng)從這些受害者那里獲得了一個穩(wěn)定的資金流，每月會產(chǎn)生數(shù)百萬的收入，被盜總金額可能達數(shù)億。"

報告說，該攻擊活動最早在2020年3月被發(fā)現(xiàn)，并一直持續(xù)到了去年11月。

分析師說，該詐騙軟件很可能是一個新興黑客團體開發(fā)進行攻擊的，因為它使用了新的技術(shù)和基礎(chǔ)設(shè)施。

分析師認(rèn)為，Dark Herring能夠攻擊成功是各種策略相互作用的結(jié)果；他們還使用了地理定位，這樣應(yīng)用程序就會為受害者提供母語來進行閱讀。

該團隊補充說："這種社會工程學(xué)的攻擊方式非常成功和有效，因為用戶通常更愿意用他們的本地語言從網(wǎng)站獲取信息。該攻擊活動的范圍非常大，通過改變應(yīng)用程序的語言，針對70多個國家的移動用戶進行攻擊，并根據(jù)當(dāng)前用戶的IP地址調(diào)整顯示的內(nèi)容。"

分析人士指出，Dark Herring背后的攻擊集團還建立了470個高質(zhì)量的應(yīng)用程序，并且通過了官方應(yīng)用程序商店的審核。這些應(yīng)用程序的功能都與宣傳的一樣，而且分布在各種不同類別的應(yīng)用程序中。

報告解釋說："能夠制作出大量的惡意應(yīng)用程序并將其提交給應(yīng)用程序商店，表明這是一個組織良好的團體。這些應(yīng)用程序可能不僅僅是對其他應(yīng)用程序的克隆，而且還能繞過傳統(tǒng)的安全工具集來對受害者進行攻擊"。

除了使用強大的基礎(chǔ)設(shè)施，Dark Herring在攻擊活動中還使用了代理來進行隱藏。而且由于應(yīng)用程序的地理定位功能，還能夠縮小搜索范圍，尋找受害者。

例如，研究人員發(fā)現(xiàn)，攻擊者更傾向于針對那些對移動用戶保護力度不太嚴(yán)格的國家的用戶進行攻擊，包括埃及、芬蘭、印度、巴基斯坦和瑞典。報告說，由于DCB的性質(zhì)，一些國家可能會由于電信公司設(shè)置的消費者保護措施而免受黑客的攻擊。

攻擊手法解析

研究人員說，在技術(shù)方面，一旦該安卓應(yīng)用被安裝和啟動，一個托管在Cloudfront的Webview就會加載一個惡意的URL。然后，該惡意軟件會向該URL發(fā)送一個GET請求，該URL會發(fā)回一個響應(yīng)，其中就包含了托管在亞馬遜網(wǎng)絡(luò)服務(wù)云實例上的JavaScript文件的鏈接。

該應(yīng)用程序然后就會獲取這些資源，然后這些資源就會對設(shè)備進行感染，啟用地理定位功能。

根據(jù)分析，其中一個JavaScript文件會指示應(yīng)用程序向"live/keylookup"API端點發(fā)出POST請求來獲得設(shè)備的唯一標(biāo)識符，然后構(gòu)建最終的一個URL。Baseurl變量被用來發(fā)出POST請求，其中就包含了該應(yīng)用程序創(chuàng)建的唯一標(biāo)識符，用來識別設(shè)備以及語言和國家的詳細(xì)信息。

最終的URL響應(yīng)包含了受害者的配置信息，攻擊者會根據(jù)受害者的詳細(xì)信息來決定其下一步的攻擊行為?；谶@個功能，受害者會收到一個移動網(wǎng)頁，要求他們提交他們的電話號碼來激活該應(yīng)用程序（和DCB收費）。這個頁面中文本的語言、顯示的旗幟和國家代碼都是定制的。

報告說："證據(jù)還表明，惡意攻擊者在建設(shè)和維護基礎(chǔ)設(shè)施方面進行了大量的資金投入，這樣可以保持這個全球騙局高速的運轉(zhuǎn)。”

由于Dark Herring獲得了明顯的成就，Zimperium表示，這個網(wǎng)絡(luò)犯罪集團可能還會進行再次的攻擊。

本文翻譯自：https://threatpost.com/dark-herring-billing-malware-android/178032/