Elibomi Android 恶意软件

发现网络犯罪分子在实时攻击中使用了一个新的网络钓鱼 Android 恶意软件系列。该威胁是由将其命名为 Elibomi 的研究人员发现的。该威胁依靠社会工程策略和伪造的 Android 应用程序从受害者那里收集信息，并将其泄露到黑客控制下的服务器。

第一次 Elibomi 攻击

第一次涉及 Elibomi 威胁的攻击发生在 2020 年末。威胁行为者向受害者的设备提供了虚假的“IT 证书”应用程序。武器化应用程序模仿 IT 证书管理模块，假装使用不存在的服务器验证设备。该应用程序请求接收 SMS 权限以及管理员权限。后者可能会被滥用，使任何移除尝试变得更加困难。虽然受害者会看到一个虚构的“安全扫描”，但在后台，该应用程序正在收集敏感信息，例如电子邮件、电话号码、存储的 SMS/MMS 消息等。

第二次 Elibomi 攻击

最近部署 Elibomi 威胁的活动针对的是印度纳税人。黑客改变了他们虚假应用程序的身份，现在它被呈现为一个纳税申请。攻击始于传播声称来自印度所得税部门的有针对性的 SMS 消息。为了看起来更合法，诱饵信息提到了目标个人的名字。此阶段的目标是让受害者假装他们的所得税退税有紧急更新，点击提供的链接。

损坏的链接指向一个网络钓鱼页面，该页面再次声称属于印度所得税部门。钓鱼页面会引导用户秘密下载携带Elibomi威胁的应用程序。威胁应用程序的包按照模式命名 - random word.random string.imobile。信息安全研究人员发现了多个版本的虚假应用程序，其中一些版本只显示一个虚假的登录页面，而其他人还拥有虚假注册和退税请求的选项。

Elibomi 威胁再次从受感染设备中捕获敏感数据，以及它设法从受害者那里获取的任何财务信息。它可以获取电子邮件、电话号码、短信/彩信、财务数据和个人身份信息。奇怪的是，收集到的数据被上传到对互联网开放的服务器，有效地向公众公开了受害者的信息。黑客可能已经注意到他们的错误被发现并且收集的信息不再可用。