SmsSpy惡意軟件

漫遊螳螂黑客組織開展的反欺詐活動仍在不斷發展。該行動的主要目標是來自亞洲國家的用戶，但現在黑客已經部署了一種名為SmsSpy的新惡意軟件，該惡意軟件專門用於感染日本用戶。惡意軟件壓力的主要目標是從受感染的Android設備中收集電話號碼和SMS消息。根據用戶的Android OS版本，該威脅能夠部署兩個不同的版本，從而導致潛在受害者的數量大大增加。

初始折衷向量

攻擊始於網上誘騙SMS消息，該消息將用戶引導到損壞的網頁。偽造消息的確切文本可能會有所不同，因為網絡罪犯可能偽裝成一家物流公司，需要用戶確認某些服務。在另一種情況下，應該警告用戶有關其比特幣帳戶的問題，並指示他們遵循提供的鏈接來驗證其登錄信息。

然後，網絡釣魚頁面將檢查用戶設備的Android版本，以確定攻擊的以下步驟。在運行Android OS 10或更高版本的設備上，惡意軟件威脅將被部署為偽造的Google Play應用程序。對於使用Android 9或更早版本的設備，將會下載偽造的Chrome應用程序。

SmsSpy的威脅功能

安裝後，有害應用程序將請求設置為設備的默認消息傳遞應用程序，以訪問受害者的聯繫人和SMS消息。向用戶顯示的通知屏幕與已下載的應用程序版本匹配。 Google Play變體是一種安全服務，據說可以提供病毒，間諜軟件，反網絡釣魚和垃圾郵件保護。對於偽造的Chrome應用程序，它警告用戶，如果不接受其權限請求，可能會導致該應用程序無法啟動或限制其功能。

之後，SmsSpy將隱藏其圖標，並嘗試通過WebSocket通信與其命令和控制服務器建立通信。默認地址嵌入到惡意軟件的代碼中，但是它也具有鏈接信息，只要需要更新C2服務器位置，該鏈接信息就會激活。 C2服務器通常隱藏在博客服務的用戶個人資料頁面中，但是也發現一些示例出於相同目的使用中文在線文檔服務。

在最初的握手過程中，SmsSpy惡意軟件會發送有關受感染設備的系統詳細信息，包括Android OS版本，電話號碼，設備型號，唯一設備ID和Internet連接類型。然後，威脅將進入偵聽模式，在等待進入命令的過程中它處於休眠狀態。攻擊者可以竊聽整個通訊錄和SMS消息，發送和刪除SMS消息等等。