卡巴斯基全球研究与分析团队检测到一个针对安卓用户的新的恶意活动。它利用伪造的婚礼请柬引诱受害者安装一个被卡巴斯基称为 Tria Stealer 的恶意应用程序。该恶意程序会将短信和电子邮件的内容以及其他数据转发给攻击者,还会劫持设备所有者的 WhatsApp 和 Telegram 账户,并向其朋友或家人索要钱财。
通过拦截短信,攻击者有机会获取不同应用程序或服务(例如网上银行)的账户访问权限。他们通过向这些服务请求一次性密码(OTP)登录验证码,并在拦截的短信中读取这些验证码来实现这一目的。此次攻击活动的主要目标是马来西亚和文莱的用户。
在安卓设备上,用户可以直接从安装文件(APK文件格式)安装应用程序,从而绕过谷歌Play等官方应用商店。虽然这在某些情况下很方便,但也存在风险,网络犯罪分子有时会利用它传播恶意软件。具体来说,Tria Stealer 以 APK 安装文件的形式通过 Telegram 和 WhatsApp 上的个人和群组聊天进行传播,利用社会工程学诱导收件人参加所谓的婚礼,并要求他们安装 APK 以查看请柬。
通过被入侵的 WhatsApp 账户进行分发(左侧)通过被入侵的 Telegram 账户进行分发(右侧)
安装后,恶意软件会请求权限,允许其访问敏感数据和功能,例如读取和接收短信、监控电话状态、通话记录和网络活动,以及显示系统级警报、在后台运行和设备重启后自动启动等操作。总之,这些权限赋予了对设备运行的重大控制权,攻击者可以拦截受害者的通知,窃取信息和电子邮件。该应用程序模仿带有齿轮图标的系统设置应用程序,诱使受害者认为请求和应用程序本身是合法的。
恶意程序还会提示用户输入他们的电话号码,该号码将与设备的品牌和型号一起发送给攻击者。所有被盗数据都通过 Telegram 机器人传输给攻击者。
自定义对话框提示输入电话号码
“卡巴斯基根据在攻击活动样本中发现的独特文本字符串,将此恶意程序命名为Tria Stealer。我们的调查表明,这款窃密程序很可能由说印尼语的威胁行为者操作,因为我们发现了用印尼语编写的工件,即嵌入恶意软件中的几个唯一字符串以及攻击者使用的 Telegram 机器人的命名模式,”卡巴斯基全球研究与分析团队安全研究员Fareed Radzi评论说:“窃密程序可能造成严重的经济损失和隐私泄露,对个人和企业用户而言,保持警惕并避免盲目遵循在线收到的请求至关重要,即使这些请求来自熟人。”
更多详情请浏览Securelist上的博文。
截至2025年1月,WhatsApp和Telegram通讯软件位列马来西亚Google Play商店最受欢迎应用前十名。今年年初,Telegram获得了马来西亚通讯及多媒体委员会(MCMC)法案下的许可证。2024年,Telegram全球月活跃用户达到十亿。
为保护自己免遭移动威胁的侵害,卡巴斯基给出以下建议:
- 仅从官方应用商店下载应用程序,例如App Store、Google Play、Amazon Appstore或其他应用商店。这些市场上的应用程序并非100%安全可靠,但至少它们会经过检查,并存在一定的过滤系统——并非所有应用程序都能进入这些商店。
- 检查您使用的应用程序的权限,并在向新应用程序授予权限之前仔细考虑,尤其是在涉及高风险权限(例如读取短信权限)时。
- 使用一款能够检测恶意应用的可靠安全解决方案。
关于全球研究与分析团队
全球研究与分析团队(GReAT)成立于 2008 年,是卡巴斯基的核心部门,负责揭露 APT、网络间谍活动、重大恶意软件、勒索软件和全球地下网络犯罪趋势。目前,GReAT 由 40 多名专家组成,他们在欧洲、俄罗斯、美洲、亚洲和中东等全球范围内工作。这些才华横溢的安全专业人员为公司的反恶意软件研究和创新发挥着领导作用,他们以无与伦比的专业知识、热情和好奇心致力于发现和分析网络威胁。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
