安全性科研工作人员警示说,犯罪嫌疑人根据应用装扮成TikTok的故意Android应用程序和弄虚作假的笔记本的广告宣传信息来对于印度的的Jio电信网开展攻击。
来源于Zscaler的分析工作人员汇报说,这一危害个人行为者自2020年3月至今就一直在开展各种各样钓鱼攻击行骗主题活动,全是在利用近期的新闻头条做为鱼饵开展攻击。
汇报发觉,她们近期根据应用社会工程学攻击试着使客户下载她们仿冒的虚报TikTok应用程序,声称这一在印度的被明令禁止的应用程序如今还能再次应用。另一个行骗方法则是蒙骗受害人,让她们认为自身有资质得到由印度政府给予的完全免费的想到笔记本。
对于JIO的客户开展攻击
Zscaler CISO的Deepen Desai告知Threatpost:"犯罪嫌疑人所采用的恶意程序有一些一同的特点,这在别的团伙犯罪中也是很普遍的。例如,它应用了普遍的持续性操纵的方式,利用受害人的手机联系人信息开展大范畴散播,攻击主题活动的目的性十分强,而且利用Weebly和GitHub等资源平台向受害人散播故意信息。"
目标明确并且范畴很普遍。Jio电力公司为印度的一半以上的网络客户带来服务项目,依据印尼电信网管理处2020年3月的汇报,印度的互联网技术客户超出7.43亿人。
他填补说,Zscaler精英团队观测到有200好几个故意Android运用,她们都采用了"与印度的时事热点有关的主题风格"开展攻击。
结果报告显示,危害个人行为者向应用Jio互联网的客户发送信息或WhatsApp信息,并另附垂钓信息和弄虚作假的产品连接对它进行攻击。该汇报表述说,连接会正确引导客户到一个由互联网犯罪嫌疑人操纵的Weebly代管的网址。
"我们在Zscaler云间观查到在初始下载要求中,客户代理商的字符串数组是” WhatsApp/2.21.4.22”。依据剖析,这种信息可以说明,该连接是由客户在WhatsApp信息中点一下的"。
汇报还填补了大量其它的URL事例。
网址:https://tiktokplus[.]weebly.com/。
缩短链接:http://tiny[.]cc/Tiktok_pro。
网站地址:https://tiktokplus[.]weebly.com/。
GitHub下载连接: https://github.com/breakingnewsindia/t1/raw/main/Tiktik-h[dot]apk
一旦客户进到到了恶意网站,攻击者便会尝试让客户下载一个Android包(APK)文档。
报导称,在以Lenovo为主题风格的攻击中,APK会启用datalaile.class,最先查验是不是有管理权限,要是没有,便会表明一条信息,说:"必须管理权限才可以运行该应用程序!"。一旦客户授于了该管理权限,便会表明一个表格规定使用者键入账户和登陆密码。
攻击传动链条的下一步是攻击者会尽量普遍地散播恶意程序。在TikTok攻击事例中,恶意程序会提醒受害人在WhatsApp上共享故意连接10次。
科学研究工作人员说:"该木马程序不容易检查用户是不是安裝了WhatsApp,在WhatsApp沒有安裝的情形下,会表明一条Toast信息,內容为'WhatsApp沒有安裝'。"
一旦信息被共享给了别的10人,便会展现出庆贺的信息,点一下后会启用clickendra.class文件,该class会表明广告宣传,最终表明提醒信息"TikTok将在1小时后运行 "。
Ad-Stuffer恶意程序
汇报说:"互联网攻击者会应用这种应用程序向客户表明正中间广告宣传来得到收益,手机软件中有两个软件开发工具包(SDK)可以做到这一目地。根据应用常见故障转换体制,假如它采用的一个SDK查找广告宣传不成功,那麼它便会应用下一个SDK。"
她们填补说,在应用程序中留意到的2个SDK是AppLovin和StartApp。
汇报填补道:"在表明广告宣传以前,手机软件便会为消费者建立一个弄虚作假的主视图,在其中就涵盖了一个假的文字信息和顶端虚报的时间轴,在设定了主视图后,会上传一个获得广告宣传的要求。假如取得成功接受到了广告宣传,那麼便会表明广告宣传并掩藏那一个虚报的时间轴,不然便会推送载入下一个广告宣传的要求。"
Zscaler精英团队观测到,假如广告宣传加载失败,恶意程序会启用lastactivity.class向受害人表明一条信息,规定她们 "点一下广告宣传并再次安装应用"。汇报说:"它转变了內容主视图构造,会再度复位StartApp SDK,像以前一样建立一个弄虚作假的时间轴,假如收到了发过来的广告宣传,那麼它便会表明给客户。"
恶意程序宣传者
科学研究工作员表明,用以散播该木马程序的源代码是felavo.class,它实行了2个重要的作用。复位应用程序和根据短消息散播故意连接,短消息只能发给别的Jio顾客。
汇报表述说:"用以散播应用程序的鱼饵信息被数据库存储,在复位环节,服务项目配备了数据加密的內容,可以用以之后破译鱼饵信息。"
科学研究队伍发觉,该恶意程序可以获得客户的手机联系人目录,根据查询手机联系人目录来找寻别的归属于Jio营运商的号。
Zscaler表明,它就会再次监管危害个人行为者,客户也必须意识到这种攻击危害是会一直出现的,必须采用大量的防范措施来保护自己。
他提议:"在下载一切应用程序时,都需要应用可靠的合法化的应用商城来下载,不必从没经检验的超链接中下载应用程序,即使他们来源于你所信赖的手机联系人。"
文中翻譯自:https://threatpost.com/adware-tiktok-laptop-offers/165318/倘若转截,请标明全文详细地址。