全球抗疫下半場(chǎng)：移動(dòng)設(shè)備或成“新冠病毒”網(wǎng)絡(luò)攻擊的“震中”

新型冠狀病毒COVID-19演變成全球性“大流行”病，這是一場(chǎng)震蕩世界的疫情危機(jī)。截至3月18日，世衛(wèi)組織最新數(shù)據(jù)顯示，全球共報(bào)告新冠肺炎確診病例超過(guò)20萬(wàn)例，疫情在西太平洋地區(qū)和歐洲地區(qū)如野火一般呈現(xiàn)勢(shì)不可擋之勢(shì)。

新冠病毒在全球范圍內(nèi)瘋狂掃蕩，與此同時(shí)，網(wǎng)絡(luò)病毒也在肆虐蔓延。隨著歐洲等國(guó)相繼淪陷，網(wǎng)絡(luò)攻擊者將攻擊焦點(diǎn)集中到疫情上，除PC端外，移動(dòng)端網(wǎng)絡(luò)攻擊同樣迎來(lái)高峰。根據(jù)360安全大腦的近期監(jiān)測(cè)，疫情相關(guān)的移動(dòng)樣本新增1400多個(gè)，涉及勒索軟件、銀行木馬、惡意廣告、強(qiáng)制分享、資費(fèi)消耗等多種不同類型。多樣化的網(wǎng)絡(luò)攻擊嚴(yán)重威脅著移動(dòng)安全，360安全大腦第一時(shí)間關(guān)注并詳細(xì)分析了海外熱度較高的惡意樣本，提醒國(guó)內(nèi)外各位用戶警惕此類以新冠病毒為誘餌的網(wǎng)絡(luò)攻擊。

疫情追蹤App實(shí)為勒索軟件

移動(dòng)設(shè)備權(quán)限成攻擊跳板

對(duì)網(wǎng)絡(luò)攻擊者來(lái)說(shuō)，新冠疫情這類的重大事件就是作惡良機(jī)，他們利用人們對(duì)疫情的關(guān)心及恐慌情緒進(jìn)行牟利。近日，國(guó)外安全研究人員發(fā)現(xiàn)了一個(gè)域名為“coronavirusapp.site”的釣魚網(wǎng)站，誘導(dǎo)用戶下載包含勒索軟件的Android應(yīng)用程序。

從攻擊流程來(lái)看，網(wǎng)絡(luò)攻擊者利用COVID-19熱圖的名義包裝釣魚網(wǎng)站，以實(shí)時(shí)獲取用戶所處地理位置的疫情數(shù)據(jù)為由，誘導(dǎo)用戶下載名為“Coronavirus Tracker”的App。實(shí)際上，這款所謂的病毒追蹤器內(nèi)含“CovidLock”勒索軟件，可強(qiáng)制更改受害用戶手機(jī)密碼來(lái)拒絕其訪問(wèn)，這種攻擊被稱為屏幕鎖定攻擊。

在用戶下載“Coronavirus Tracker”并開始運(yùn)行后，首先要求用戶授權(quán)“電池優(yōu)化”權(quán)限，來(lái)保證勒索軟件在后臺(tái)持續(xù)運(yùn)行，然后繼續(xù)請(qǐng)求訪問(wèn)Android設(shè)備的“輔助功能”，通過(guò)集成可訪問(wèn)性功能和服務(wù)來(lái)提高勒索軟件的持久性。

最后，該軟件彈出主題為“新冠病毒患者在附近時(shí)可通知用戶”的聲明，騙取用戶激活其管理員權(quán)限。而軟件獲得管理員權(quán)限之后，就會(huì)發(fā)起攻擊。

一旦用戶單擊“掃描冠狀病毒區(qū)域”，手機(jī)就會(huì)彈出勒索消息提示并自動(dòng)鎖定。該軟件要求受害者支付價(jià)值250美元的比特幣，否則就會(huì)泄露其照片、視頻等隱私信息和敏感數(shù)據(jù)。

遠(yuǎn)控木馬借勢(shì)潛伏

惡意App受命竊取隱私信息

類似上文這種蹭疫情熱度的，還有偽裝成Android應(yīng)用的遠(yuǎn)控木馬。日前，一款以“Coronavirus”命名的移動(dòng)應(yīng)用吸引了用戶注意，它通過(guò)名稱和病毒圖標(biāo)來(lái)誘導(dǎo)用戶下載，實(shí)則該軟件內(nèi)含木馬類病毒。

通過(guò)分析“Coronavirus”的攻擊行為可知，該惡意軟件可執(zhí)行竊取隱私信息、發(fā)送短信、呼叫轉(zhuǎn)移等操作，并將所竊取的隱私信息上傳至服務(wù)器。此外，它還能定期從服務(wù)器更新加載惡意代碼，并具備使用Teamviewer實(shí)現(xiàn)遠(yuǎn)程控制Android設(shè)備的功能。

值得注意的是，該軟件本身具有加入白名單、隱藏圖標(biāo)、繞過(guò)Google GMS認(rèn)證等隱匿方式。也就是說(shuō)，用戶很難察覺(jué)“Coronavirus”的攻擊行為，且難以刪除該軟件，將使自己長(zhǎng)期暴露于巨大的移動(dòng)安全隱患之中。

另外，國(guó)外安全研究人員發(fā)布的推特內(nèi)容也為大家敲響了警鐘，用戶還要當(dāng)心此前活躍的惡意木馬家族借疫情熱點(diǎn)卷土重來(lái)，如“Cerberus”銀行木馬。

此前，360安全大腦在《2019年Android惡意軟件專題報(bào)告》曾提到，Cerberus等銀行木馬在經(jīng)過(guò)發(fā)展后進(jìn)行改進(jìn)，大多會(huì)引入勒索功能、代理功能及鍵盤記錄等。Cerberus可以使攻擊者完全接管受感染的Android設(shè)備，還具有覆蓋攻擊、SMS控制和聯(lián)系人列表收集等銀行木馬功能，先竊取銀行用戶的賬戶信息，再以此進(jìn)行牟利。

封殺疫情主題娛樂(lè)App

全球科技巨頭聯(lián)手“抗疫”

自新冠病毒爆發(fā)以來(lái)，利用新型冠狀病毒熱度注冊(cè)域名的人數(shù)驟增。據(jù)相關(guān)數(shù)據(jù)統(tǒng)計(jì)，以“corona”、“covid19”或“covid2019”為關(guān)鍵詞的新域名注冊(cè)數(shù)量日漸增多，極有可能是為下一步的釣魚欺詐鋪路。利用用戶關(guān)注度，攻擊者往往會(huì)偽裝成與疫情相關(guān)的網(wǎng)站、機(jī)構(gòu)，散播疫情虛假信息，從而誘導(dǎo)用戶下載包含勒索病毒、木馬的惡意軟件等，嚴(yán)重?fù)p害了移動(dòng)端網(wǎng)絡(luò)安全。

面對(duì)趁勢(shì)爆發(fā)的各類網(wǎng)絡(luò)攻擊，全球科技巨頭為維護(hù)用戶網(wǎng)絡(luò)安全紛紛推出相應(yīng)舉措。近日，蘋果宣稱，目前正在嚴(yán)格評(píng)估與新型冠狀病毒COVID-19相關(guān)的各類App，其開發(fā)者必須為政府組織、已獲認(rèn)證的健康組織、具備運(yùn)營(yíng)資質(zhì)的醫(yī)療和教育機(jī)構(gòu)。并且，蘋果的App Store中將杜絕新冠病毒主題的娛樂(lè)類或游戲類應(yīng)用。

此外，谷歌、微軟、Facebook、Twitter、Reddit、YouTube和LinkedIn等科技公司聯(lián)合發(fā)布聲明，呼吁其他公司在抗疫期間合力對(duì)抗“欺詐和虛假的疫情信息”，嚴(yán)格新冠病毒相關(guān)信息的審查，以確保疫情信息的準(zhǔn)確性，為用戶提供一個(gè)安全、健康的移動(dòng)生態(tài)環(huán)境。

同時(shí)，針對(duì)日漸增長(zhǎng)的移動(dòng)端網(wǎng)絡(luò)攻擊態(tài)勢(shì)，360安全大腦建議各位用戶：

1. 注意避免瀏覽未知來(lái)源的網(wǎng)頁(yè)，不要點(diǎn)擊廣告，短信，電子郵件內(nèi)的下載鏈接;

2. 下載疫情相關(guān)的軟件時(shí)，請(qǐng)認(rèn)準(zhǔn)政府或權(quán)威機(jī)構(gòu)來(lái)源;

3. Android用戶應(yīng)始終在設(shè)備中禁用“未知來(lái)源”選項(xiàng)，謹(jǐn)慎授權(quán);

4. 提升網(wǎng)絡(luò)安全意識(shí)，警惕以“新型冠狀病毒”為名的網(wǎng)站、郵件、軟件等。

360烽火實(shí)驗(yàn)室

360烽火實(shí)驗(yàn)室，致力于Android病毒分析、移動(dòng)黑產(chǎn)研究、移動(dòng)威脅預(yù)警以及Android漏洞挖掘等移動(dòng)安全領(lǐng)域及Android安全生態(tài)的深度研究。作為全球頂級(jí)移動(dòng)安全生態(tài)研究實(shí)驗(yàn)室，360烽火實(shí)驗(yàn)室在全球范圍內(nèi)首發(fā)了多篇具備國(guó)際影響力的Android木馬分析報(bào)告和Android木馬黑色產(chǎn)業(yè)鏈研究報(bào)告。實(shí)驗(yàn)室在為360手機(jī)衛(wèi)士、360手機(jī)急救箱、360手機(jī)助手等提供核心安全數(shù)據(jù)和頑固木馬清除解決方案的同時(shí)，也為上百家國(guó)內(nèi)外廠商、應(yīng)用商店等合作伙伴提供了移動(dòng)應(yīng)用安全檢測(cè)服務(wù)，全方位守護(hù)移動(dòng)安全。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）