注意新型安卓木马病毒正在传播
近期安全专家们发现了一个名为iSXAuto的Android应用程序,似乎是针对Android设备开发的。下图显示成功安装后设备屏幕上的应用程序图标和名称视图。
在用户设备上成功执行应用程序后,它会从Android设备上窃取短信,它也可以发送文本短信。通过窃取收到的短信,威胁行为者可以通过OTP服务登录重要账户,进行包括财务在内的各种欺诈。我们认为这样的活动是有针对性的攻击。
技术分析
APK Metadata Information
• App Name: iSXAuto
• Package Name: com.xiaiooajhw.app
• SHA256 Hash:
080c3bbc90193a090a0be895c7b82d6ec10a340f296ff90298570dbfb1647e9c
恶意软件向用户请求7种不同的权限,其中至少有5种被滥用。下面列出了这些危险的权限
Permissions
Description
READ_SMS
Access phone messages
RECEIVE_SMS
Allows an application to receive SMS messages.
SEND_SMS
Allows an application to send SMS messages.
WRITE_SMS
Allows the app to modify or delete SMS.
READ_PHONE_STATE
Allows access to phone state, including the current cellular network information, the phone number and the serial number of this phone, the status of any ongoing calls, and a list of any Phone Accounts registered on the device.
代码分析
恶意软件收集来自设备的短信并上传到服务器。通过获取短信,黑客可以获得一些敏感信息,如一次性密码(OTP)账户余额等
通过下面显示的代码,恶意应用程序可以向黑客定义的号码发送文本短信。
恶意软件通过下面显示的代码将收集到的短信通过URL发送到黑客的服务器:
hxxps://api10[.]bestkedai29.com/api/usersms/createv2?userId.
总结
黑客正在以针对Android用户不断改进他们的技术。在这种情况下,黑客使用应用程序从受害者的设备上收集和发送文本短信,来试图牟利或者用于下一步的欺诈行动。