间谍软件通过虚假自然灾害警报传播

间谍软件通过虚假自然灾害警报传播

网络安全研究人员发现，恶意软件正通过虚假火山喷发警报传播至安卓设备。

意大利网络安全公司D3Labs于10月16日发布了关于该恶意软件的博客。他们发现恶意攻击者正在利用IT-Alert服务——意大利政府用于在紧急情况（如自然灾害）下向公民传播关键信息的新公共警报系统。

为了诱骗毫无戒备的受害者下载恶意软件，攻击者创建了一个冒充IT Alert的网站，显示“由于火山可能喷发，可能发生全国性地震。下载应用程序以关注所在地区是否会受影响”。这个虚假网站仅针对安卓用户，如果通过桌面浏览器或iOS设备访问，网站会重定向到真正的IT Alert网站。

当受害者点击下载按钮时，一个标记为IT-Alert.apk的文件会被下载到其设备上。该文件包含SpyNote恶意软件。这种恶意软件主要针对金融机构，通常由其使用别名CypherRat的创建者通过Telegram出售。

通过提示用户允许应用程序在后台运行，恶意攻击者能够通过设备的无障碍服务获得对受害者智能手机的完全控制。这使得攻击者能够“监控、管理和修改设备的资源和功能，以及具备远程访问能力”。这种技术还使受害者“卸载应用程序、更新已卸载的应用程序或安装新应用程序”更加困难。

SpyNote还可以独立使用应用程序内的按钮，访问设备的摄像头，从设备中提取个人信息，并将这些信息连同受感染设备的图片和视频发送到其命令与控制中心。这使得恶意攻击者能够监视用户。

恶意攻击者还能够获取用于双因素认证（2FA）的代码，并窃取银行应用程序和社交媒体的登录凭证。这是通过启动一个看起来像合法服务的虚假应用程序，并提示受害者输入其登录凭证来实现的。

安卓设备官方应用商店Google Play的运营商谷歌的一位发言人告诉BleepingComputer，“在Google Play上未发现包含SpyNote的应用程序”。

该发言人还表示：“谷歌在该报告发布之前已针对此间谍软件实施了用户保护措施。用户受到Google Play Protect的保护，它可以在具有Google Play服务的安卓设备上警告用户或阻止已知表现出恶意行为的应用程序。”