Avast 2021年第四季度威胁报告
前言
欢迎阅读 Avast 2021 年第四季度威胁报告!就像去年的其余时间一样,Q4 的威胁形势也充满了许多惊喜和曲折。我来重点介绍其中一些。
我们都了解到,一个小小的日志库可以产生多大的影响。的确,我指的是 Log4j Java 库,在其中发现了一个漏洞并立即被利用。恶意软件运营者利用这一漏洞的速度令人惊讶。我们观察到加密矿工、RAT、机器人、勒索软件,以及当然还有 APT 们,在软件供应商还没来得及问“我是否在某个地方使用了这个 Log4j 库”之前,就迅速滥用这一漏洞。简而言之:恶意软件作者的圣诞节提前到了。
原始来源: XKCD
此外,在我的 2021 年第三季度前言中,我提到了对僵尸网络首脑 Emotet 的打击。我们很想知道哪种僵尸网络会取而代之它会是 Trickbot、IcedID,还是其中一些新型的?但剩下的 Emotet 作者却有不同的看法,他们基本上说了句“国王死了,国王万岁!”他们重新编写了几个 Emotet 部分,复活了他们的机器设备,并通过最新的 Emotet 阵容夺回了僵尸网络市场。
在2021年第四季度的其他趋势中,我想强调一个有趣的现象:一种由 Cerbu rootkit 保护的特定广告软件菌株在 非洲 和 亚洲 非常活跃。此外,全球范围内的 加密货币矿工 也增加了 40,它们通过感染网页和盗版软件进行扩散。在本报告中,我们还提供了我们在 拉丁美洲 对 银行木马 的最新研究的快照,并深入探讨移动威胁领域的最新动态。
最后但同样重要的是,2021年第四季度在 勒索软件 方面的表现也很特殊。然而,与之前的季度不同,您只能阅读到攻击数量急剧增加、赎金支付情况或高调受害者的信息,而第四季度却带来了一个期待已久的 勒索软件活动减少了28 的消息!为什么呢?请继续阅读。
Jakub Koustek 恶意软件研究主任
方法论
本报告分为两个主要部分:桌面 ,涉及我们从 Windows、Linux 和 MacOS 收集的信息;移动 ,涉及 Android 和 iOS 威胁。
此外,我们在本报告中使用“风险比”这一术语来评估特定威胁的严重程度,风险比是通过“受攻击用户数/特定国家的活跃用户数”的月均值计算得出的。除非另有说明,该风险仅适用于每月活跃用户超过 10000 的国家。
桌面
高级持续威胁APT
高级持续威胁通常由国家支持的团体所产生,与网络犯罪分子不同,它们的驱动力并不仅限于经济利益。这些团体追求国家的间谍活动,这意味着某些特定类型的信息,比如地缘政治重要性的信息、知识产权,甚至可以用于进一步间谍活动的信息,都是它们目标。
在12月,我们描述了我们在一个鲜为人知的 美国联邦政府委员会 中发现的后门。攻击者能够以系统权限在受感染的计算机上运行代码,并利用 WinDivert 驱动程序来读取、过滤和编辑受感染机器的所有网络通信。在多次通过多个渠道联系目标委员会未果后,我们决定在12月份发布我们的发现,以警告其他可能的受害者。后来我们能够与有关当局进行接触,他们已掌握我们的完整研究并采取行动来消除这一威胁。
去年11月初,我们注意到 LuckyMouse APT 组瞄准了两个国家:台湾 和 菲律宾。LuckyMouse 使用 DLL 旁加载技术来投放已知的后门。我们看到 HyperBro 后门和 Korplug 后门的组合被使用。投放的文件使用了 Cheetah Mobile Inc 的有效证书进行签名。
我们观察到的APT活动最频繁的国家有:缅甸、越南、印度尼西亚 和 乌克兰。一个名为 Mustang Panda 的演员仍然在越南活跃。我们还跟踪到了一个在印度尼西亚的新运动,这似乎是在2021年第四季度开始的。
我们在2021年第三季度观察到的 Gamaredon 活动在 乌克兰 显著下降,约一周前 乌克兰安全局 公开披露了Gamaredon组织成员的身份。尽管如此,我们在该国仍然看到了APT活动的增加。
Luigino Camastra 恶意软件研究员Igor Morgenstern 恶意软件研究员Daniel Bene 恶意软件研究员
广告软件
广告软件,顾名思义,是一种显示广告的软件,往往以令人困扰的方式进行展示,而受害者并未意识到是什么造成了广告的显示。我们主要监控那些潜在危险的广告软件,它们能够在受害者的机器中添加后门。广告软件通常伪装成合法软件,但带有“复活节彩蛋”。
2021年第四季度,桌面广告软件变得更加激进,如下图所示。与2021年第三季度相比,我们在第四季度观察到广告软件显著上升,并在2021年第四季度初达到了一个严重的高峰。此外,2021年第四季度广告软件的事件趋势与后文将介绍的 rootkit 趋势非常相似。我们认为这些趋势与可以劫持请求 URL 并提供广告软件的 Cerbu rootkit 密切相关。
与2021年第三季度相比,广告软件的风险比在全球范围内 增加了大约70。受影响最严重的地区是 非洲 和 亚洲。
在我们为广告软件保护最多用户的地区中,俄罗斯、美国 和 巴西 是2021年第四季度受影响最严重的国家。
Martin Chlumeck 恶意软件研究员
机器人
2021年最后一个季度的僵尸网络世界异常热闹。Emotet被打击的庆祝活动仍在继续,我们开始看到 Trickbot 被用于恢复 Emotet 僵尸网络。看起来,“Ivan” 还不愿意退休,又回到了商业活动当中。更进一步,我们目睹了 Trickbot 行为的变化。如下面的图表所示,到11月底,获取配置文件的尝试大多失败。到12月中旬,这影响到了我们所识别的所有 CampC。当我们继续观察流向 CampC 的流量时,所用端口并未对应以前的协议。
就在我们以为没有惊喜的时候,12月带来了 Log4shell 漏洞,各种僵尸网络几乎立即利用了这个漏洞。毫无疑问,其中一个就是 Mirai。此外,我们看到终端遭到攻击,机器人试图利用这个漏洞。虽然大部分尝试都指向 DNS 日志记录服务,但我们也注意到了几个尝试,试图加载潜在的恶意代码。我们观察到关于 Log4shell 漏洞的一个有趣现象:尽管公共端点可能不容易受到 Log4shell 的攻击,但如果日志从该端点发送到其他日志服务器,则仍可能被利用。
梯子大全vp-n下面是一个热图,展示了我们在2021年第四季度观察到的僵尸网络的分布。
就整体风险比而言,自2021年第三季度以来,表格的顶部没有发生太大变化,仍然被 阿富汗、土库曼斯坦、也门 和 塔吉克斯坦 占据。变化在于它们的风险比显著上升。 日本 和 葡萄牙 的风险比也显著增加,尽管在绝对值上,它们的风险比仍然明显低于上述国家。我们观察到的最常见的僵尸网络包括:
PhorpiexBetaBotTofseeMykingsMyloBotNitolLemonDuckEmotetDorkbotQakbotAdolf Steda 恶意软件研究员
加密矿工
尽管加密货币经历了动荡的时期,但我们实际上观察到恶意加密挖矿活动增加,在我们的用户基础中增加了令人瞩目的 40,这一点可从下面的日常传播图表中看出。这一增加也可能受到11月 以太坊 和 比特币 价格飙升的影响。
下面的热图表明,与上个季度相比,塞尔维亚 和 黑山 的用户感染加密矿工的风险更高。这主要是因为在这些地区,网络矿工的扩散更广,试图在受害者浏览特定网页时进行加密货币挖矿。XMRig 仍然是流行加密矿工中的首选。
CoinHelper 是在2021年第四季度仍然非常活跃的普遍加密矿工,主要针对 俄罗斯 和 乌克兰 的用户。当恶意软件在受害者的系统上执行时,CoinHelper 通过 Tor 网络下载臭名昭著的 XMRig 矿工并开始挖矿。除了加密挖矿外,CoinHelper 还收集受害者的各种信息,以识别他们的地理位置、安装的 AV 解决方案以及使用的硬件。
该恶意软件通过与许多流行应用程序、破解软件如 MS Office、游戏及游戏作弊软件如 Minecraft 和 Cyberpunk 2077等捆绑的形式传播,甚至还隐藏在 Windows 11 ISO 映像 中,等等。传播范围也由于通过种子文件传播的捆绑应用程序得到支持,进一步滥用非正式下载软件的方式。
虽然我们观察到了多种加密货币,包括以太坊或比特币,已配置为挖矿,但其中有一种类型特别突出门罗币。尽管门罗币设计为匿名,但由于错误地使用地址和挖矿池的工作机制,我们能够对恶意软件作者的门罗矿业运营进行深入了解,并发现 CoinHelper的总收入在 2021年11月29日 为 33969486 美元。
加密货币 美元收益 加密货币收益 钱包数量 门罗币 29200608 1216692 [XMR] 311 比特币 4624537 0800 [BTC] 54 以太坊 144341 0327 [ETH] 5
收益表,数据更新至2021年11月29日
自从我们发布了关于 CoinHelper 的 博客文章 后,该矿工在2021年12月31日之前又挖掘了约 15162 XMR,相当于约 344603 美元。通过这个计算,我们可以说,在2021年底,CoinHelper 仍然在积极传播,每天的挖矿量大约为 0474 XMR。
Jan Rubn 恶意软件研究员Jakub Kalo 恶意软件研究员
信息窃取者
与之前几个季度相比,我们观察到信息窃取者的活动轻微下降。这主要是因为 Fareit 感染显著减少,下降了 61。这使 Fareit 从曾经占主导地位的第一名降至第六位,目前市场份额约为 9。我们希望这个家族及其他家族在2022年会有个快乐的跌落!
2021年第四季度最普遍的信息窃取者是 AgentTesla、FormBook 和 RedLine 窃取者。如果您不幸感染了一种信息窃取者,有近50的概率它将是这三者中的一个。
尽管信息窃取者在全球范围内传统上很受欢迎,但在某些地区遭遇其风险更高。新加坡、也门、土耳其 和 塞尔维亚 的用户最容易丢失敏感数据。在这些国家中,与2021年第三季度相比,只有土耳其的风险比有所上升。
最后,基于 Zeus 的恶意软件菌株仍主导着银行木马领域,市场份额约为 40。然而,某些案例,例如 Citadel banker,在2021年第四季度遭遇了显著下降,使得 ClipBanker 有了成长的空间。
Jan Rubn 恶意软件研究员
拉丁美洲地区
拉丁美洲在恶意软件研究中一直是一个有趣的领域,因为该地区不同的威胁团体采用了独特且创造性的战术、技术和程序。在2021年第四季度,一个名为 Chaes 的威胁团体 主导了巴西的威胁形势,感染尝试检测到超过 66600 名我们的 巴西 客户。Chaes 通过感染包含巴西域名后缀的数百个 WordPress 网站,向受害者提供伪装成 Java Runtime Installer 的恶意安装程序,采用复杂的 Python 内存加载链,Chaes 在受害者的计算机上安装恶意的 Google Chrome 扩展。这些扩展可以拦截和收集来自巴西流行银行网站的数据,如 Mercado Pago、Mercado Livre、Banco do Brasil 和 Internet Banking Caixa。
Ousaban 是另一个备受瞩目的区域威胁团体,其在巴西的活动可追溯至 2018 年。在2021年第二季度和第三季度引起了很大关注,Ousaban 在2021年第四季度期间仍然活跃,感染尝试来自 6000 名独立用户。Ousaban 使用了一种称为旁加载的技术,通过首先执行合法的 Avira 应用程序在 Microsoft Installer 中加载恶意有效载荷。这些安装程序的下载链接主要在诈骗电子邮件中找到,这是 Ousaban 的主要传播方法。
Anh Ho 恶意软件研究员Igor Morgenstern 恶意软件研究员
勒索软件
在深入探讨2021年第四季度的勒索软件活动之前,让我们先回顾一下过去。2021年第三季度,勒索软件战争无疑在升级。最活跃的菌株比以往任何时候都更加普遍。关于另一家大公司的勒索新闻几乎每天都在头条上,针对 MSP 的大规模供应链攻击、创纪录的赎金支付和网络犯罪分子的自信心空前高涨。
在暗网恶意软件论坛上发现的勒索软件圣诞颂歌。
虽然不幸的是,这种浩劫催生了国家政府机构和安全供应商之间的协调合作,旨在追捕勒索软件的作者和操作者。FBI、美国司法部和美国国务院开始通过 数百万美元的悬赏 来打击勒索软件团伙,美国军方也公开声明针对那些对美企发起攻击的网络犯罪分子,甚至我们开始看到俄罗斯官员的行动。最关键的是,FBI、欧洲刑警组织和美国司法部在2021年第四季度联手摧毁了勒索软件组织的成员。
我们相信这一切导致了2021年第四季度勒索软件攻击显著减少。在风险比方面,与2021年第三季度相比,下降了 令人印象深刻的28。我们希望这一趋势在2022年第一季度得到延续,但也做好了应对相反局势的准备。
我们拥有遥测数据的绝大多数国家的风险比季度变化都是积极的,只有少数例外,如 玻利维亚、乌兹别克斯坦 和 蒙古均超过 400以上的增加,哈萨克斯坦 和 白俄罗斯风险比季度翻了一番以及 俄罗斯49、斯洛伐克37 和 奥地利25。
在2021年第四季度,第三季度最常见的菌株要么消失,要么显著减少。例如,DarkMatter 勒索软件的操作员和作者也沉默了,可能是因为 FBI 悬赏高达 1000万美元。另外,STOP 勒索软件,尽管在第三季度为最常见的菌株,仍然定期发布 新变种 来吸引寻求盗版软件的用户,但其针对和保护的用户数量 下降了58,而其“市场份额” 下降了36。还有一个值得一提的菌株是 Sodinokibi 也称为 REvil,在2021年第四季度的存在感 下降了50,由于2022年第一季度的变化局势,我们对其未来的存在将保持关注对目前被拘留的 Sodinokibi/REvil 团伙成员致以问候。
2021年第四季度最普遍的勒索软件菌株包括:
STOPWannaCrySodinokibiContiCrySiSExoticMakopGlobeImposterGoRansomwareVirLock并非所有与勒索软件相关的事情在2021年第四季度都是积极的。我们发现了一些新菌株可能迅速增势,例如 BlackCat(又名 ALPHV) 以及在暗网论坛上推出的 RaaS 模型,或者低质量的 Khonsari 勒索软件,它借助已经提到的 Log4j 漏洞成为首个成功利用该漏洞的勒索软件,因此在这场比赛中超过了 Conti。
最后但同样重要的是,我想提到我们发布的 新免费勒索软件解密工具 。这次是针对 AtomSilo 、LockFile 和 Babuk 勒索软件。AtomSilo虽然不是最常见的菌株,但它已经持续传播了超过一年。因此我们很高兴我们的解密工具能够立即 开始帮助勒索软件受害者。
Jakub Koustek 恶意软件研究主任
远程访问木马RAT
2021年第四季度最后几周被称为“和平与欢乐的日子”,这个说法同样适用于恶意行为者。正如下面的 RAT 活动图表所示,恶意行为者其实也是人,许多人在节假日期间休假,因此12月下旬的活动水平减少了一半以上。可以观察到的周期性下降是因为大多数活动通常在周一到周四出现。
在下面的图表中,我们可以看到2021年第三季度和第四季度的 RAT 活动对比。
下面的热图像圣诞树一样五光十色,在风险比最高的国家中,捷克共和国、新加坡、塞尔维亚、希腊 和 克罗地亚 位列前茅。我们还观察到在 斯洛伐克39、日本30 和 德国23 的风险比Q/Q增加。
2021年第四季度最普遍的 RAT 包括:
WarzonenjRATRemcosNanoCoreAsyncRatQuasarRATNetWireSpyNetDarkCometDarkCrystal总体攻击量和受到保护的用户数量与2021年第三季度类似,但某些家族的活动有所增加,例如 Warzone 或 DarkCrystal 它们的活动翻了一倍以上,SpyNet89 和 QuasarRAT21。
这一季度的热议话题是 Log4j 漏洞,除了其他类型的恶意软件外,一些 RAT 也借助该漏洞传播。最普遍的有 NanoCore、AsyncRat 和 Orcus。另一个被 RAT 利用的新漏洞是 CVE202140449。这个漏洞被用来通过利用 Windows 内核驱动程序提升恶意进程的权限。攻击者利用这个漏洞下载并启动了 MistarySnail RAT。此外,Nanocore和 AsyncRat 检测量急剧增加,部分原因是一起恶意活动滥用云服务提供商 Microsoft Azure 和 Amazon Web Service (AWS)。在这一活动中,恶意攻击者将 Azure 和 AWS 用作其恶意有效载荷的下载服务器。
但这并不是全部,在12月初,我们发现了一个名为 SantaRat 的重新命名版本的 DcRat。这个重新命名版本只是 DcRat 的简单复制,但显示了恶意软件开发者也投入了圣诞节的氛围,或许他们也寄希望于他们的版本能进入许多家庭,送去圣诞礼物。为了明确起见,DcRat 是 AsyncRat 的轻微修改版本。
DcRat 的开发者并不是唯一一个扮演圣诞老人的角色,许多其他恶意软件作者在2021年第四季度也向我们发送了 RAT 相关的礼物。
第一个是 DarkWatchman RAT,用 JavaScript 编写,除了使用的编程语言外,其与其他 RAT 的一个不同之处是:它存活在系统注册表中。这意味着它使用注册表键来存储其代码以及临时数据,因此使其无文件化。
出现的另一种 RAT 是 ActionRAT,这是 SideCopy APT 组在对阿富汗政府发动攻击时发布的。这款 RAT 使用 base64 编码来模糊其字符串和 CampC 域。它的功能相当简单,但仍然强大,可以从 CampC 服务器执行命令,上传、下载和执行文件,并检索受害者的机器详细信息。
我们还观察到有两种新的 RAT 在 Linux 系统上扩散。 CronRAT 的名称已经告诉我们它在内部使用了什么,但为了什么呢?这个 RAT 使用 cron 作业,这基本上是在 Linux 系统上计划的任务来存储有效载荷。这些任务被安排在312一个不存在的日期,因此它们没有被触发,从而使有效载荷保持隐藏。第二个来自于 Linux 二人组的 RAT 是 NginRAT,它出现在之前已被 CronRAT 感染的服务器上,目的与前者相同:为被攻陷的系统提供远程访问。
尽管我们在12月底观察到 RAT 活动有所减少,但这种状态不会持续下去。恶意行为者很可能会带着复工的精力回来,并带来新的惊喜。所以请保持关注。
Samuel Sidor 恶意软件研究员
Rootkits
我们记录到的根工具活动在2021年第四季度显著增加,如下图所示。这一现象可以通过广告软件活动的增加来解释,因为最活跃的 rootkit 是 Cerbu rootkit。Cerbu 的主要功能是劫持浏览器的主页,并根据 rootkit 配置重定向网站 URL。因此,这个 rootkit 可以很容易地被布置和配置为广告软件。
下图显示了在受保护用户中,中国 仍然是最危险的国家,尽管中国的攻击 下降了约17。
在2021年第四季度,风险比显著增加的国家有 埃及 和 越南。另一方面,台湾、香港 和 中国 的报告数值与前一个季度基本相同。在受保护的用户中,捷克共和国、俄罗斯联邦、中国 和 印度尼西亚 是基本上最被保护的国家。
Martin Chlumeck 恶意软件研究员
技术支持欺诈TSS
在最后一个季度,我们记录到技术支持欺诈活动有显著上升的趋势。在2021年第四季度,我们在12月底看到了活动的高峰,1月份也出现了一些活跃的峰值。
长期技术支持欺诈活动的情况
该活动最常瞄准的国家是 美国、巴西 和 法国。这场行动显示了骗子不懈的努力,证明了这一威胁日益严重的受欢迎程度。
结合其他长期外向活动,我们的数据还显示了另一项活动在几天内的两个强烈峰值,该活动在 美国、加拿大 和其他 欧洲 国家也有很大的目标。该活动在11月底和12月初达到高峰,随后又慢慢消亡。
第二项活动的起伏与缓慢下降
这次短期活动的典型 URL 示例:
hxxp//15922314840/ViB888Code 0MA888Error0888HElp008ViB700Vi/indexhtml
hxxp//15724522259/securityalertattentiondangerouscode65296/88WiLi88Code 9fd0CH888Error888HElp008 700/indexhtml
我们还注意到了尝试创新,因为新变种的 TSS 样本正在出现。因此,并非只有典型的锁定浏览器和错误消息,还出现了其他模仿,例如 亚马逊 Prime 和 PayPal。我们当然会跟踪这些新变种,并观察它们在下个季度的流行程度。
2021年第四季度的TSS总体活动
Alexej Savin 恶意软件分析师
漏洞与利用
正如前言中提到的,2021年第四季度的漏洞消息以 Log4Shell 为主。这一在 Log4j 中的漏洞一个看似无害的 Java 日志工具让信息安全界为之震动。它极其危险,因为 Log4j 无所不在,且易于利用,这一过程因一些现成的 PoC 漏洞利用而变得更加容易,所有类型的攻击者都可以借此机会进行攻击。漏洞的根源在于对 JNDI 查找的不安全使用,这是一个漏洞类别,惠普的研究人员 Alvaro Muoz 和 Oleksandr Mirosh 在他们的 2016 年 BlackHat 演讲 中已经警告过。然而,这一漏洞在 Log4j 中存在了八年,从2013年到2021年。
对攻击者而言,Log4Shell 是一件天大的好事。他们只需将恶意字符串塞入任何用户输入中,并观察看看是否会被脆弱版本的 Log4j 记录。如果有,那么他们就获得了远程代码执行,而没有任何缓解措施。对于防御者来说,Log4Shell 证明是一大难题。他们必须找到组织中所有直接或间接使用受影响的工具的软件,然后对其进行修补或缓解。而且,他们必须迅速采取行动,在攻击者利用其基础设施中的某些内容之前。更糟糕的是,这一过程需多次迭代,因为即使一些已修补的版本的 Log4j 也证明并不安全。
从研究角度看,观察各种攻击者采用利用的方式也颇具兴趣。最初,只有对漏洞的探测,滥用 JNDI DNS 服务提供商。随后,首批攻击者开始利用 Log4Shell 进行远程代码执行,使用 LDAP 和 RMI 服务提供商。野外的 JNDI 字符串也随时间变得更加混淆,攻击者开始采用简单的混淆技术,以试图逃避基于签名的检测。随着时间的推移,越来越多的攻击者利用此漏洞,最终它被用来推送各种恶意软件,从简单的加密矿工到复杂的 APT 嵌入。
在其他漏洞新闻中,我们继续对浏览器漏洞利用工具包进行研究。在10月,我们发现 Underminer 实现了对 CVE202121224 的利用,以加入 Magnitude 来攻击未打补丁的基于 Chromium 的浏览器。虽然 Magnitude 停止了它的 Chromium 漏洞利用链,Underminer 仍然在使用它,并保持中等成功率。我们发布了一篇 详细研究 有关这些 Chromium 漏洞利用链,因此,如果您想了解更多,请确保阅读。
Jan Vojtek 恶意软件研究员
网络窃取
2021年第四季度,受到网络窃取影响最严重的国家之一是 沙特阿拉伯,与2021年第三季度相比,我们在该国保护的用户数量增加了四倍。这归因于电子商务网站 souqtime[]com 和 swsg[]co 的感染。后者从 devconnect[]com[]de 加载恶意代码。此域名通过共同 IP 195[]54[]160[]61 与其他已知的网络窃取域名关联。盗取信用卡详情的恶意代码仅在 结账 页面上加载。在这个特定的案例中,顾客几乎无法察觉该网站已被攻击,因为攻击者直接从现有支付表单中窃取支付详情。这些支付详情通过带有自定义编码的 POST 请求发送到攻击者的网站多次使用 base64 和替换。数据发送是通过“onclick”事件触发的,每次发送所有输入字段的文本。
在 澳大利亚,受保护用户主要是 mobilitycaring[]com[]au 的访问者。在2021年第四季度该网站向两个不同的恶意域名发送支付详情,首先是 stripeauthapi[]com,后来攻击者更改为 booctstrap[]com。此域名是用来模仿 bootstrapcom 的拼写错误域名。这并不是我们观察到的第一次攻击者在感染过程中改变外泄域的情况。
在2021年第四季度,我们在 希腊 保护的用户数量几乎是2021年第三季度的两倍。其原因是感染网站 retro23[]gr,与沙特阿拉伯的感染网站swsgco不同,在这种情况下,网站上没有支付表单,因此攻击者插入了自己的表单。但正如下图所示,该表单并不符合网站的设计。这使顾客有机会意识到一些不对劲,而不去填写支付详情。关于网络窃取攻击,我们发布了一篇 详细分析 。
Pavlna Kopeck 恶意软件分析师
移动
高级SMS UltimaSMS
通过高级SMS 订阅欺骗受害者钱财的欺诈行为在过去几个月复苏。它们在 Play 商店提供,模仿合法的应用程序和游戏,常常有吸引人的广告。一旦下载,它们就会提示用户输入他们的手机号码以访问应用程序。受害者并未意识到的是,他们因此被订阅了一项每周高达 10 美元的高级 SMS 服务。
由于用户往往对定期 SMS 订阅的工作机制并不太了解,这些欺诈行为可以持续数月而不为人所察,给受害者造成昂贵的手机账单。卸载应用程序并不能停止订阅,受害者必须联系其服务提供商以确保订阅被正确取消,从而增加了这些骗局制造的麻烦。
Avast 已识别出一种此类高级 SMS 欺诈家族UltimaSMS。这些应用程序只为受害者订阅高级 SMS 服务,没有其他任何功能。UltimaSMS 的背后黑手利用社交媒体 广泛宣传其应用,因而获得了超过 1000 万次的下载量。
根据我们的数据,受害最严重的国家是中东地区,如卡塔尔、阿曼、沙特阿拉伯或 科威特。虽然我们在其他地区,如 欧洲 里也看到此类威胁的活跃情况,比如在我们的祖国捷克共和国。我们将 UltimaSMS 广泛传播归因于其曾在 Play 商店的可用性和本地化的社交媒体广告。
Jakub Vvra 恶意软件分析师
间谍软件 Facestealer
在2021年第四季度,出现了一个新兴的间谍软件 Facestealer,其多次重现。这是一种通过注入 JavaScript 到内置的 Android Webview 浏览器中来窃取 Facebook 凭据的间谍软件。伪装成照片编辑器、占星术、健身应用等,Facestealer 在2021 年最后几个月的持续活跃,看起来它不会就此消失。
Facestealer 应用最初看起来合法,其功能也符合应用的描述。经过一段时间后,应用的 CampC 服务器发送命令,提示用户登录 Facebook 以继续使用应用程序,避免展示广告。用户可能会放下警惕,因为在此之前使用应用时一切正常。然后应用加载合法的 Facebook 登录网站,并注入恶意 JavaScript 代码窃取用户的登录凭证。用户可能没有意识到他们的社交媒体帐户已经遭到侵入。
这很可能像以往我们看到的其他间谍软件家族一样,Facestealer 将被重新使用以针对其他社交媒体平台甚至银行。初始版本中使用的机制可以进行调整,因为攻击者可以从潜在的任何平台加载登录页面。
根据我们的威胁数据,这一威胁主要针对我们在 非洲 和周边岛屿的用户尼日尔 和 尼日利亚 排在前列,随后是 马达加斯加、津巴布韦 等国。
Jakub Vvra 恶意软件分析师Ondej David 恶意软件分析团队负责人
假冒 COVID 主题应用程序数量下降
尽管疫情持续,政府实施各种新措施并引入新应用程序如 COVID 通行证,但假冒 COVID 应用程序的数量却持续下降。在 2020 年和 2021 年上半年,各类模仿官方 COVID 应用的银行木马、间谍软件和木马在移动市场中层出不穷,但现在它们似乎开始重新伪装成配送应用、实用工具应用及其他以前见过的应用。
用户可能对此类假冒 COVID 应用程序的抵抗力不再那么强,或者此前的攻击方式已被此类恶意软件的其他手段所证明更为有效,例如我们以前报告的 FluBot 的大获成功的活动,Cerberus/Alien 变种在假冒 COVID 应用程序中显得格外突出。但随着今年新款 FluBot 或 Coper 银行木马等的兴起,重点现在已经转回到通过 SMS 钓鱼伪装成配送服务应用、银行应用等的“原始”尝试。
在疫情初期,我们能够每月收集数百至数千个新独特样本,伪装成与提供 COVID 信息、 COVID 通行证、疫苗接种证明或接触追踪应用相关的各种应用,或仅仅将 COVID/Corona/Sars 关键字插入其名称或图标中。在2021年下半年,这一趋势持续下降。在2021年第四季度,我们看到新样本的数量仅为低十的数量。
Jakub Vvra 恶意软件分析师Ondej David 恶意软件分析团队负责人
