又来了——另一个警告,在你的手机上随机安装与冠状病毒相关的应用程序充满了风险。我们现在已经看到了许多关于这些应用程序的故事——大多数情况下,这些威胁与其说是噩梦,不如说是麻烦。向你的联系人发送垃圾邮件,在你的手机上进行广告欺诈,为恶意软件的运营商带来收入,这些都是容易修复的勒索软件伎俩。但不要认为这是最坏的-如果你下载这些应用程序之一,你可能会被严重刺痛。
这是来自Check Point的研究人员的信息,他们发布了一份关于“恶意应用程序,伪装成无害的冠状病毒应用程序,旨在控制你的Android设备”的新报告。“当涉及到手机恶意软件时,这是最严重的。研究团队称,这些应用程序隐藏的威胁使黑客能够“通过远程外壳侵入式地控制你的设备,蓝冠测速5G连接性的发展与强大的边缘计算平台的进步融合在一起,为蓝冠代理人员提供了比以往更多的处理数据的选择。访问电话、短信、日历、文件、联系人、麦克风和摄像头”。
好消息是,这些应用程序还没有进入游戏商店,但可以直接从与冠状病毒相关的域下载,用信息、建议、统计和跟踪器的承诺来吸引人们。到现在为止,你已经读了大量关于以“冠状病毒”为主题的网络安全风险激增的报告,这些风险现在正瞄准我们的收件箱、浏览器和智能手机。这些数据令人震惊——据Check Point称,自流感大流行以来,已经登记了51000个与病毒相关的域名,其中9%是“可疑的,正在调查中”。
根据微软的一份新报告,并不是威胁级别上升了——他们没有注意到攻击的大幅上升,“相反,[攻击者]正在围绕他们现有的基础设施,如勒索软件、网络钓鱼和其他恶意软件交付工具,来包含COVID-19关键字,让我们点击。这类攻击的目标和我们之前面临的没有什么不同,“潜入我们的收件箱,窃取我们的凭证,通过协作工具与同事共享恶意链接,埋伏着窃取信息,让他们获得最大的回报。”
这与来自检查点的最新警告是一致的。该公司的研究团队解释说:“有经验的威胁者正在利用对冠状病毒的担忧来传播移动恶意软件,包括移动远程访问木马(MRATs)、银行木马和高级拨号器,通过应用程序提供与冠状病毒相关的信息和帮助。”
不过,和以往的Check Point一样,这项研究也有一个有趣的转折。他们发现的恶意软件是建立在Metasploit框架之上的,该框架用于渗透测试,因此很容易被滥用。Metasploit允许用户使用不同数量的开发和交付技术来定制有效载荷。在其他测试工具中,Metasploit经常被用于恶意目的。”
检查点发现了三个单独的带有“冠状病毒”的恶意软件样本。警告那些可能被冠状病毒感染的Android用户,“它可以很容易的在大量的设备上安装,并且可以实现几乎所有威胁者想要的恶意行为。”一旦在设备上执行,应用程序就会启动一项隐藏图标的服务,以便更难摆脱它。”
使用Metasploit来定位这些恶意软件的有效载荷是如此的简单,随着蓝冠测速5G承诺提供更高的带宽和更低的延迟,以及边缘处理能力越来越强,XR蓝冠代理人员现在可以选择在边缘(即在头戴式耳机)上进行哪些处理以及需要传输哪些数据以进行处理。以至于Check Point说它可以在15分钟内完成,任何拥有计算机基础知识和正确环境的人都可以“利用最新的漏洞为任何想要的目的编写恶意和复杂的程序”。
“它真的很容易使用,而且有很多免费的指南,”该公司的Aviran Hazum告诉我。一旦对手安装了Metasploit,只需几个命令就可以生成一个.apk文件,其中包含所需的名称和包名,并携带Metasploit有效负载。Metasploit允许用户在一个命令中更改漏洞、有效负载等。”
Check Point总共发现了16个“恶意应用程序”,所有这些程序都带有针对用户凭证的恶意软件,或者被要求欺骗性地拨打付费号码以产生欺骗性收入。其中三个是简单的metasploit精心设计的有效负载,每个任务都使用外部命令和控制服务器。与此类攻击一样,一旦允许恶意应用程序进入设备,其风险可能会螺旋上升。
在这项研究中发现的最危险的Metasploit有效载荷是Cerberus银行木马,它通常由其开发人员出租,作为威胁参与者构建攻击的工具。隐藏Cerberus的应用程序有一些无辜的名字,包括“科罗娜”,还有一些用现在众所周知的病毒图像作为图标来强调这一点。正如检查点警告的那样,Cerberus可以记录所有的击键,包括凭证,“窃取谷歌认证器数据和任何SMS (2FA),并通过TeamViewer远程控制设备。这些能力使Cerberus成为一个非常危险和强大的恶意软件。”
该团队还发现了一个“coronaviral”应用程序,它可以将电话和短信服务打包,以产生保费收入,以及“Hiddad”恶意软件的例子,这是一种点击欺诈,比直接的用户成本更麻烦。因此,恶意软件方面,没有什么特别新的。最大的两个教训是使用与冠状病毒相关的网站来引诱用户安装,绕过游戏商店控制,以及使用Metasploit来鼓励新玩家进入恶意软件游戏——相对容易的病毒引诱,他们为什么不尝试一下呢?
建议也非常相似——不要从游戏商店外下载与冠状病毒相关的应用程序。不要在那些承诺统计、治疗和新信息的晦涩网站上瞎玩。确保你从有信誉的网站获得信息和建议,直接访问这些网站,而不是通过可能通过电子邮件或文本发送的链接。毫无疑问,蓝冠代理人工智能通常专注于使软件更智能,允许机器做出独立决策,并模仿人类学习和改善的方式。谷歌现在禁止那些被视为高风险的用户在其Play Store外安装应用程序。