虛假聯(lián)系人跟蹤應用針對十個的移動用戶

現(xiàn)在，由Anomali Threat Research(ATR)進行的新研究表明，至少有十個已成為虛假聯(lián)系人跟蹤應用程序的目標。

受該發(fā)現(xiàn)影響的地區(qū)包括亞美尼亞，，新加坡，哥倫比亞，尼西亞，，，吉爾吉斯斯坦，巴西和俄羅斯。而且，在某些情況下，一個以上的應用正在影響給定的區(qū)域。例如，一個應用程序模仿的Arrogyasetu，而另一個應用程序模仿Chhattisgarh 聯(lián)系人跟蹤應用程序。新加坡也有兩個單獨的實例。

在大多數(shù)情況下，有問題的應用似乎是在直接模仿政府資助的應用。但是它們似乎沒有關聯(lián)。相反，這似乎是來自多個團體或個人的機會主義惡意行為。實際上，每個用戶似乎都在利用用戶積極尋找聯(lián)系人跟蹤應用程序這一事實。這與攻擊是任何單個團體或單個不良演員的工作相反。

在感染用戶設備的12個應用程序中，有一半以上是Trojan型感染。剩下的惡意軟件之一似乎是軟件。

但是，新發(fā)現(xiàn)的四個威脅是建立在Anubis或Spynote上的。影響，巴西，俄羅斯和尼西亞的這四個構成了更為嚴重的威脅。

偽造的聯(lián)系人跟蹤應用程序已經夠糟糕了，但是Anubis和Spynote是什么?

如上所述，Anubis和Spynote是ATR最近的研究發(fā)現(xiàn)的兩個惡意軟件家族。與其他群體相比，那些群體提出了一些獨特的威脅。每個都提供特定的功能列表。但是在這方面有一些共同點。

兩者都可以訪問SMS消息，位置數(shù)據(jù)和聯(lián)系人，但是Anubis跟蹤“系統(tǒng)信息”，而Spynote則深入研究設備的識別信息。兩者都可以記錄電話。但是只有Spynote可以使用受害者的電話號碼撥打電話，并且可以讀取或寫入消息以及聯(lián)系方式。這就是應用程序相似性有效終止的地方。

Anubis可以進一步創(chuàng)建和部署自定義注入。這些主要針對用于信息收集的和社交媒體應用。它還執(zhí)行鍵盤記錄，訪問權限并創(chuàng)建自定義覆蓋圖以竊取憑據(jù)。除此之外，Anubis的功能還允許其在啟動時從應用程序抽屜中隱藏。因此用戶甚至不一定知道它在那里。

相反，Spynote可以檢查已安裝的應用程序并安裝新的應用程序。它還會檢查瀏覽器歷史記錄，并可以泄漏文件。在后一種情況下，這意味著它將推送并保存從設備中取出的數(shù)據(jù)。最后，Spynote具有訪問和捕獲來自相機應用程序的照片的獨特功能。

在巴西和俄羅斯發(fā)現(xiàn)了阿努比斯的行動。Spynote目前似乎僅限于尼西亞和，特別是模仿Arrogya Setu應用程序。在每種情況下，惡意應用程序都模仿政府贊助的聯(lián)系人跟蹤應用程序。

這些應用來自哪里?

不良行為者會利用全球大流行來竊取數(shù)據(jù)也就不足為奇了。它發(fā)生之前。但是各種假聯(lián)系人追蹤應用程序的確切來源尚不清楚。也許更令人擔憂的是，目前尚不清楚應用程序的下載位置。

通常，這些類型的應用程序來自Android的內置應用程序市場-Google Play商店之外。這是因為除非用戶選擇退出，否則Play商店會自動掃描威脅。即使該名為Play Protect的工具無法捕獲所有威脅，這也很有幫助。

在這里似乎也是如此。在突出顯示為可能的嫌疑人的問題區(qū)域中，ATR并未列出Google的Play商店。取而代之的是，該公司認為該應用已被次要惡意應用下載或從各個網站進行了側載。如上所述，這些應用似乎沒有關聯(lián)。

用戶也有可能從第三方運行的應用程序市場下載軟件。