SmsSpy恶意软件

漫游螳螂黑客组织开展的反欺诈活动仍在不断发展。该行动的主要目标是来自亚洲国家的用户，但现在黑客已经部署了一种名为SmsSpy的新恶意软件，该恶意软件专门用于感染日本用户。恶意软件压力的主要目标是从受感染的Android设备中收集电话号码和SMS消息。根据用户的Android OS版本，该威胁能够部署两个不同的版本，从而导致潜在受害者的数量大大增加。

初始折衷向量

攻击始于网上诱骗SMS消息，该消息将用户引导到损坏的网页。伪造消息的确切文本可能会有所不同，因为网络罪犯可能伪装成一家物流公司，需要用户确认某些服务。在另一种情况下，应该警告用户有关其比特币帐户的问题，并指示他们遵循提供的链接来验证其登录信息。

然后，网络钓鱼页面将检查用户设备的Android版本，以确定攻击的以下步骤。在运行Android OS 10或更高版本的设备上，恶意软件威胁将被部署为伪造的Google Play应用程序。对于使用Android 9或更早版本的设备，将会下载伪造的Chrome应用程序。

SmsSpy的威胁功能

安装后，有害应用程序将请求设置为设备的默认消息传递应用程序，以访问受害者的联系人和SMS消息。向用户显示的通知屏幕与已下载的应用程序版本匹配。 Google Play变体是一种安全服务，据说可以提供病毒，间谍软件，反网络钓鱼和垃圾邮件保护。对于伪造的Chrome应用程序，它警告用户，如果不接受其权限请求，可能会导致该应用程序无法启动或限制其功能。

之后，SmsSpy将隐藏其图标，并尝试通过WebSocket通信与其命令和控制服务器建立通信。默认地址被嵌入到恶意软件的代码中，但是它也具有链接信息，只要需要更新C2服务器位置，该链接信息就会激活。 C2服务器通常隐藏在博客服务的用户个人资料页面中，但是也发现一些示例出于相同目的使用中文在线文档服务。

在最初的握手过程中，SmsSpy恶意软件会发送有关受感染设备的系统详细信息，包括Android OS版本，电话号码，设备型号，唯一设备ID和Internet连接类型。然后，威胁将进入侦听模式，在等待进入命令的过程中它处于休眠状态。攻击者可以窃听整个通讯录和SMS消息，发送和删除SMS消息等等。