据外媒 12 月 20 日报道，捷克软件公司 Avast 近日发现，一款新型 Android 恶意软件 Catelites Bot 伪装成 2200 多家银行（包括桑坦德银行和巴克莱银行等）应用软件，利用“屏幕覆盖攻击”窃取用户银行账户与密码信息。 Avast  在其博文中指出，Catelites Bot 与一款由俄罗斯网络黑帮发布的 CronBot 有一些相似之处， 因此研究人员认为 Catelites Bot 也可能与该黑帮有关联。 据报道，该网络黑帮近期已被警方捣毁，曾利用 “ CronBot ” 木马感染了超过 100 万用户，盗取金额达 90 万美元。 虽然没有任何证据表明恶意软件 Catelites Bot 的开发者与 CronBot 有关联，但目前该恶意开发者可能已经掌握了 CronBot 的相关技术并将其用于自己的攻击活动中。 Catelites Bot 攻击方式 研究人员透露，Catelites Bot 主要通过第三方应用程序商店进行传播。近几个月来，几乎每周都有“虚假应用程序”攻击 Android 设备的案例。恶意软件 Catelites Bot 首先会尝试获取管理员权限，然后自动并交互式地从 Google Play 商店中提取其他 Android 银行应用程序的图标和名称，之后再利用“屏幕覆盖攻击”——即伪造的银行 APP 登录界面覆盖其他正规应用程序的方式来欺骗用户，以便于获取用户名、密码和信用卡信息。（“屏幕覆盖攻击”的典型代表，编者注） 虽然伪造的登录界面和真实的应用程序界面不完全相同，但黑客能够通过广撒网的方式达到目的。通常情况下，新 Android 用户可能更容易受骗上当。 “目前为止， Catelites Bot 恶意软件主要针对的是俄罗斯用户群体，它还处于一个早期测试阶段，或将扩散至全球更大范围，就统计结果显示目前至少有 9000名用户设备受到感染 ” 研究人员表示。 此外，Avast 和 SfyLabs 团队发现恶意软件 Catelites Bot 还有一些尚未激活的功能，如文本拦截（通常需要访问双重验证码）、擦除设备数据、锁定智能手机、访问电话号码、查看消息对话、强制密码解锁、甚至更改扬声器音量等。 研究人员建议，由于 Catelites Bot 是通过非官方渠道传播的，因此对用户而言将手机设置为仅接受来自官方应用商店（如 Google Play）的应用下载非常重要。同时，通过确认程序界面来检查银行应用是否被覆盖也是预防恶意软件攻击的必要措施。 消息来源： IBTimes，编译：榆榆，校审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 19 日消息，McAfee Labs 通过收集的证据表明 DragonFly 恶意软件与 BlackEnergy 和 TeamSpy 等其他黑客攻击活动有莫大联系，这些攻击活动在技术、战术和程序方面都非常相似。 赛门铁克今年 9 月发布了关于 “DragonFly 2.0 行动” ——针对数十家能源公司进行黑客攻击的详细分析报告，在对制药、金融和会计行业遭遇过网络攻击案例进一步调查分析后，研究团队发现这些攻击活动在技术、战术和程序方面都存在相似之处（如使用鱼叉式网络钓鱼、特定漏洞攻击和供应链污染等），他们怀疑 “DragonFly 2.0 行动”与 2014 年观察到的 DragonFly 攻击行动背后是同一个黑客组织。 DragonFly 与 TeamSpy 之间的关联 研究人员通过对恶意软件的关联分析，发现前两款恶意软件都使用了 TeamSpy 恶意软件中相同的  TeamViewer（由匈牙利安全公司 Crysys 分析提出）。 TeamSpy 黑客组织攻击过许多高级机构，包括俄罗斯驻华大使馆、 法国和比利时的多个研究和教育机构、一家位于伊朗的电子公司和位于俄罗斯的工业制造商等。 尽管此前的分析报告倾向于将黑客攻击归因于一个或多个黑客组织、认为他们彼此分享了攻击战术和工具，但研究人员同时表示， 黑客组织 TeamSpy 背后的动机与 DragonFly 类似。 DragonFly 与 BlackEnergy 之间的关联 如上图，研究人员发现今年捕获的 DragonFly 恶意软件样本中包含与 2016 年 BlackEnergy 恶意软件相关的代码块。 虽然这种自我删除的代码块在恶意软件中非常常见，但通常是通过创建批处理文件并执行批处理而不是直接调用 delete 命令来实现。 而在通过对比 2015 年 10 月 31 日在乌克兰被捕获的 BlackEnergy 样本代码与 DragonFly 样本后，研究人员发现他们之间的代码几乎都是相同的，因此揭示了 BlackEnergy 和 Dragonfly 之间的相关性。 更多细节内容可阅读： McAfee 报告：《Operation Dragonfly Analysis Suggests Links to Earlier Attacks》 消息来源：Security Affairs ，编译：榆榆，校审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

前景提要：网络安全公司 FireEye 和 Dragos 于上周报道称，新型恶意软件 Triton 和 Trisis 通过破坏关键基础设施中广泛使用的施耐德电气 Triconex 安全控制器致使中东部分机构关场停工。据悉，工业网络安全公司 CyberX 根据种种迹象推测，此次网络攻击事件的幕后黑手可能由伊朗策划，其目标疑似沙特阿拉伯的一家重要机构。美国国土安全部（DHS）的国家网络安全和通信集成中心（NCCIC）周一就此事发布了一份针对工业安全系统的恶意软件的分析报告。 HackerNews.cc 12 月 19 日消息，美国国土安全部（DHS）研究人员于近期在调查时发现另一新型恶意软件 HatMan，旨在针对国家工业控制系统（ICS）展开攻击活动。随后，国家网络安全与通信集成中心（NCCIC）在本周一发布的恶意软件分析报告中提供了缓解措施与 YARA 规则，以便减少国家工控系统的损失。 调查显示，基于 Python 编写的 HatMan 恶意软件主要以施耐德电气的 Triconex 安全仪表系统（SIS）控制器为目标，旨在监控流程并将其恢复到安全状态或在发现潜在危险情况时执行安全关闭。此外，HatMan 还通过专有的 TriStation 协议与 SIS 控制器进行通信，并允许攻击者通过添加新的梯形图逻辑操纵设备。然而，由于黑客在触发 SIS 控制器启动 “安全关闭” 功能后终止了操作，因此FireEye 专家推测攻击者可能是在侦查阶段无意触发了控制器，其最终目标可能只是针对 SIS 造成高强度的物理伤害感兴趣。 施耐德电气的 Triconex 安全检测系统（SIS）控制器主要用于核电站、炼油、石化、化工和其它过程工业的安全和关键单元提供连续的安全连锁和保护、工艺监视，并在必要时安全停车。 值得注意的是，NCCIC 在其报告中指出，该恶意软件主要有两部分组件：一部分是在受损的 PC 端运行后与安全控制器交互，另一块是在控制器上直接运行。研究人员表示，虽然 HatMan 本身并没有做任何危险动作，且被降级的基础设施安全系统也不会直接操作整个控制流程，但倘若存在漏洞的安全系统遭到恶意软件感染则可能会造成极大危害。另外，可以肯定的是，虽然 HatMan 今后可能会成为监控 ICS 的重要工具，但它或许只会被用来影响工业生产流程或者其他危险操作。总而言之，恶意软件中不同组件的构建意味着攻击者需要对 ICS 环境（特别是对 Triconex 控制器）极其熟悉，以及它需要较长的开发周期来完善这类高级攻击手法。 施耐德电气已对此事件展开调查。官方表示目前没有证据表明该恶意软件利用了产品中的任何漏洞。但安全专家还是建议客户切勿轻易将设备置于 “Program” 模式，因为当控制器设置为此“Program” 模式时攻击者就可能通过恶意软件传送 payload。 国家安全局局长 Emily S. Miller 表示：“ 攻击者有能力访问关键基础设施的安全仪器设备，并极有可能针对设备固件进行潜在更改，因此这一提醒给予关键基础设施的所有者与经营者莫大的警示。” 消息来源：Securityweek，译者：青楚，审校：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

卡巴斯基实验室本周一（ 12 月 18 日）发布博文表示，发现一种名为 Loapi 的功能强大的木马病毒，其具备多重攻击手段、能够利用被感染设备挖掘加密货币、发起 DDos 攻击等，甚至于对存在该木马病毒智能手机也会造成物理损坏——使感染病毒时间超过两天的手机电池膨胀。   伪装成杀毒软件和色情应用程序感染设备 研究人员介绍，恶意开发人员利用 Loapi  挖掘加密货币、用固定广告骚扰用户、启动拒绝服务 ( DoS ) 网络攻击、访问文本消息并连接到网络。当用户被重定向到攻击者的恶意网络资源后，会自动下载恶意文件。据悉，存在  Loapi  的恶意软件可以伪装成至少 20 种不同的杀毒软件和色情应用程序去感染用户设备。 在用户安装假冒的应用程序的过程中，应用程序会尝试获取设备管理员权限， 通过循环弹框直到用户同意授权为止。随后，Loapi 将其图标隐藏在菜单中或模拟各种防病毒活动，试图让用户相信该应用程序是合法的。而具体的行为特征则取决于它所伪装成的应用程序类型，如下图： 具备强大的自我保护机制 研究发现，木马病毒 Loapi 能够积极地对抗任何想要撤销设备管理权限的企图，每当用户试图取消这些权限时，恶意应用程序将会锁定屏幕并使用设备管理器设置关闭窗口，并执行以下代码： 同时该木马还能够从其 C＆C 服务器接收一个危险的应用程序列表用于监听某些应用程序的安装和启动， 例如当木马 Loapi 检测到一个真正的反病毒应用程序，它会谎称其是恶意软件，并循环弹框迫使用户卸载该反病毒应用程序。 开采 Monero （门罗币） 导致手机电池膨胀 根据卡巴斯基实验室的说法，木马 Loapi 具备挖掘加密货币的功能，能够利用被感染设备的计算资源挖掘数字货币 Monero（门罗币），也正是这种功能甚至导致了设备电池膨胀，以至于对手机造成物理损害。 据研究人员介绍，Loapi 似乎是 2015 年发现的一个 “ Podec ” 木马的新版本，堪称恶意 Android 应用程序界中的一朵  “ 奇葩 ”。  感染木马病毒后的手机设备，两天后出现电池膨胀现象 Loapi 的开发者几乎用上了我们能够想到的所有手段对攻击设备进行攻击：该木马可以使用户订阅付费服务、任意发送短信、产生流量并通过展示广告赚钱、利用设备的计算能力来挖掘加密货币、并在互联网上进行各种活动。目前唯一缺少的行为就是 “ 间谍活动 ”，但是此类木马专业且模块化的体系结构意味着它随时都能添加这种功能。 所幸，目前 Loapi 被发现只潜伏于第三方应用商店 ，尚未出现在 Google App Store 中。但即使是在官方商店下载应用程序，用户也需时刻保持警惕，因为恶意软件随时可能会出现各种木马漏洞。 消息来源： IBTimes、securelist，编译：榆榆，校审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

安全人员今天报告说，Cuphead 冒牌 iOS 游戏今天在苹果应用商店当中已经发布，内容看似合法，有真正的游戏截图，并且标明售价 5 美元，并且注明 Cuphead 开发者是 StudioMDHR ，但支持页面链接到 “ studiomdhrgames.com ”，而不是 StudioMDHR 的实际网站 “ studiomdhr.com ”。如果用户购买这款游戏，用户将看到一个不正确的名称：“ StudioMDHR Entertainment Inc .” 查询注册信息获知，网站 “ studiomdhrgames.com ” 是名为 Walter Gregor 的人注册，他并非 StudioMDHR 员工。对于这个工作室来说，这个冒牌游戏让外界不明就里的人以为 StudioMDHR 悄悄地打破它与微软之间高度公开的排他性协议，特别是在发布之后的几个月里。 一位 Twitter 用户张贴了一张截图，显示 StudioMDHR 确认这是一个骗局，而 StudioMDHR 也向我们证实了这一点。 StudioMDHR 表示，他们正在努力将这款冒牌游戏删除。StudioMDHR 表示，在 iOS 商店里有一个冒名顶替的 Cuphead 应用程序，这是一个骗局。我们正在尽快删除欺诈应用程序！ 但是用户实际上可以使用触摸控制玩这个版本的 Cuphead，但是背景看起来低分辨率，并且动画非常原始，一些基本元素似乎并不适用于触摸屏。有人会试图向 iOS 这样的平台提交冒牌游戏而攻击 Cuphead 并不奇怪。但是令人惊讶的是，苹果公司会让它在提交过程中通过审核，特别是考虑到 Cuphead 是一年中最受期待的游戏之一。 稿源：cnBeta，封面源自网络；

据外媒 12 月 16 日报道，美国网络安全公司 F5 Networks  发现了一项利用 NSA 漏洞大量入侵 Linux 和 Windows 服务器同时植入恶意软件 “ Zealot ”来挖掘 Monero 加密货币的攻击行动。 黑客组织同时利用 NSA 漏洞入侵目标服务器 根据 F5 Networks 安全研究人员的说法，黑客组织使用两个漏洞扫描互联网上的特定服务器： 一个是用于 Apache Struts（CVE-2017-5638 — RCE 远程代码执行漏洞），另一个则是用于DotNetNuke ASP.NET CMS （ CVE-2017-9822 — DotNetNuke 任意代码执行漏洞）。  其中 Apache Struts （CVE-2017-5638）漏洞也是今年早些时候黑客组织利用来攻击美国金融巨头 Equifax  的同一个漏洞。 此外，亦有其他犯罪集团在今年 4 月份使用同一漏洞并将勒索软件安装在了使用 Struts  2 框架的服务器上，初步统计当时他们从中获利超过 10万美元。 在研究人员表示，若目标是 Windows 服务器，攻击者将会在服务器上部署 EternalBlue （永恒之蓝）和 EternalSynergy（永恒协作），这是今年早些时候由 Shadow Broker  “ 影子经纪人 ” 泄露的两个 NSA 漏洞，可利用于在用户本地网络中横向扩散、感染更多系统。随后，黑客组织使用 PowerShell 下载并安装最后一阶段的恶意软件，该恶意软件在攻击行动中充当 Monero 矿工的角色。而在 Linux 上，黑客组织则通过从 EmpireProject 后期开发框架中获取的 Python 脚本感染系统，并且也会安装同一个 Monero 矿工。 挖掘 Monero（门罗币）至少赚了 8500 美元 从收集到的 Monero 地址来看，黑客组织至少从此次攻击中获得了8500 美元。考虑到黑客组织很可能还使用了其他 Monero 钱包，这意味着他们获利金额会更高。有趣的是通过对恶意代码的分析，研究员们发现该黑客组织成员似乎是 StarCraft （星际争霸）游戏的忠实粉丝，因为行动中使用的许多术语和文件名都来自游戏，比如狂热者（Zealot）、观察者（Observer）、霸王（Overlord）、乌鸦（Raven）等。 不过 F5 专家们警告称， Zealot 的攻击活动运用了多级感染链、定制先进恶意软件 , 通过 NSA 漏洞进行横向扩散已经造成了巨大危害。而且黑客组织随时都有可能将最后阶段的 playload 更改为任何他们想要的东西，比如安装勒索软件而不是挖矿工具。 消息来源： BleepingComputer，编译：榆榆，校审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 12 月 17 日报道， 趋势科技的安全研究人员于近期发现了一种名为 PRILEX 的 ATM 恶意软件，旨在瞄准巴西银行进行针对性攻击、窃取 ATM 用户的信息。 卡巴斯基实验室于今年 10 月发现了第一起 PRILEX 攻击，而趋势科技分析认为 PRILEX 具有非典型的行为，因为 PRILEX 只会影响特定品牌的自动取款机，这种非典型行为表明恶意软件是为高度针对性的攻击而设计的。被发现的 ATM 恶意软件通过挂钩某些动态链接库（DLL）来工作，并将其替换为自己的应用程序屏幕。 这些恶意代码所针对的 DLL 是： ○ P32disp0.dll ○ P32mmd.dll ○ P32afd.dll 一旦感染 ATM，PRILEX 恶意软件就会 kill 掉银行应用进程、显示特定的虚假屏幕诱导用户提供帐户验证码。据悉，该验证码原本是作为双因素身份验证过程的一部分提供给用户的，而恶意软件将会捕获并存储该验证码，同时恶意软件 PRILEX 会试图将信用卡数据和帐户验证码发送回 C＆C 服务器，这对于 ATM 恶意软件来说是非常罕见的行为。因此研究人员推测，这家银行的 ATM 机很可能是相互联网的，攻击者似乎对这些特定的设备非常熟悉。 除了恶意软件 PRILEX 之外，趋势科技的研究人员还分析了近期发现的 CUTLET MAKER ATM 恶意软件，该软件在暗网上以 5000 美元左右的价格出售。 恶意软件 CUTLET MAKER 可以通过侵入特定 ATM 供应商的 API 接口后清空设备所有现金，而无需与银行用户及其数据进行交互。不过竞争对手已经设法破解了 CUTLET MAKER  的代码，允许任何人免费使用它。到目前为止 CUTLET MAKER 的作者还没有发布新版本来解决这个问题。 消息来源： Security Affairs ，编译：榆榆，校审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

 全球最大石油运输公司 —— 俄罗斯管道巨头 Transneft 周五（12月15日）证实，其计算机系统感染了秘密挖掘加密货币 monero 的恶意软件。目前尚未知晓有多少设备受到影响，Transneft 官方也暂未透露更多细节。 据路透社报道， Transneft 公司发言人表示，加密软件系由 Transneft 公司电脑自动下载的，后被全部清除。公司目前已加强相应的网络安全系统，以防将来发生类似事件。Transneft 公司副总裁弗拉基米尔·鲁沙洛（Vladimir Rushailo）周四给公司高层通报了恶意软件一事，并表示：“公司硬件被用于挖掘加密货币一事已经被发现，可能会对生产力造成一定的负面影响”，但没有透露更多细节。 近几个月，受比特币暴涨的利益驱使，一些企业如 海盗湾、Politifact、UFC、Showtime 等甚至在他们网站上部署 JS 挖矿代码，以暗中通过用户 CPU 挖掘虚拟货币，就连星巴克的免费 Wi-Fi 也难免被恶意网站利用。而 Transneft 是迄今为止受恶意软件影响群体中最知名的公司之一，其生产线中具备齐全的硬件资源恰好能使恶意软件高效运作，并利用闲置产能来挖掘加密货币。业内安全专家也指出，未来黑客可能更多地利用企业硬件资源来挖掘虚拟货币。 相关阅读： 即使关闭浏览窗口，某些基于浏览器的挖矿软件还会偷偷运行 调查结果显示全球约 2500 家网站被植入挖矿代码、窃取加密货币 消息来源：路透社；封面源自网络；编译：FOX

据外媒报道，美国网络安全公司 FireEye 发现了一种专门针对工业控制系统（ ICS ）的新型恶意软件 Triton ，旨在破坏关键基础设施中广泛使用的 Triconex 安全控制器，通过扫描和映射工业控制系统环境，以便直接向 Tricon 安全控制器提供侦察和发布命令。相关专家推测，鉴于经济动机和攻击的复杂程度，可能有国家资助的相关群体参与其中。 施耐德电气的 Triconex 安全检测系统( SIS )控制器主要用于核电站、炼油、石化、化工和其它过程工业的安全和关键单元提供连续的安全联锁和保护、工艺监视，并在必要时安全停车。这次调查中 FireEye 没有将 Triton 攻击与任何已知的 APT ( 高级持续性威胁 ) 组织联系起来。专家认为此次事件是侦察活动的一部分，而且它与之前发生在全球的许多攻击和侦察活动一致。 定制级恶意软件针对工控系统，幕后团队疑有“国家资助” FireEye 表示， 黑客组织正在培养其造成物理损坏和在无意中关闭操作的能力，一旦他们获得 SIS 系统的访问权限，就会趁机部署 Triton 恶意软件，这一情况表明攻击者对 SIS 系统有一定的了解，因为根据 FireEye 的说法，攻击者需要事先编写和测试黑客工具，而该工具需要访问的硬件和软件并不被外界广泛使用。此外，Triton 也被设计为利用未公开记录的专有 TriStation 协议进行通信，这意味着攻击者反向设计协议来执行攻击。Triton 恶意软件与 Triconex SIS 控制器相互作用， 从而具有读写程序和控制器的功能。 知情人士透露，攻击者还在基于 Windows 的工程工作站上部署了 Triton 恶意软件并伪装成合法的 Triconex Trilog 应用程序用于检查日志。若出现故障，该恶意软件则会尝试将控制器恢复到运行状态；若尝试失败，也会使用垃圾数据覆盖恶意程序，并且可能会删除攻击痕迹。 相关人士透露，Triton 恶意软件对 SIS 控制器的攻击非常危险。一旦控制器被攻破，黑客就可以重新编程设备，以触发安全状态，并对目标环境的操作产生巨大影响。此外，攻击者也可以对重新编写 SIS 控制器程序 ，以避免在参数呈现危险值时触发操作。倘若 SIS 和 DCS 控制失败，那么就会触发最后一道防线 ——工业设施，其中包括设备的机械保护(例如破裂盘)、物理警报、应急反应程序和其他缓解危险情况的机制。 FireEye 表示， 黑客似乎对 SIS 造成高强度的攻击并带来物理伤害非常感兴趣，这在典型的网络犯罪团体中并不常见。在 FireEye 检测到的这次攻击中，黑客在触发 SIS 控制器启动“安全关闭”功能后终止了操作，因此专家们推测攻击者可能是在侦查阶段无意触发了控制器。 施耐德电气发布安全警告 目前，施耐德电气已经意识到 Triton 恶意软件是针对单个客户 Triconex Tricon 安全关闭系统的定向攻击事件，官方正在调查这些黑客组织是否利用了 Triconex 产品中的漏洞，并且表示会积极与其客户、网络安全组织和 ICS CERT 密切合作，以降低此类攻击风险。与此同时，施耐德发布了一项安全警告， 建议避免将 Triconex 控制器钥匙开关处于 “ Program ” 模式，因为在此模式下攻击者能够通过恶意软件传送 playload。 尽管多年来全球报告了大量的工控系统感染事件，但当时专家也只检测到几种专门针对 ICS 定制的恶意软件：Stuxnet、 Havex， BlackEnergy2、 IRONGATE 和 Industroyer 。 FireEye 公司已将识别出的恶意软件样本同步给其他网络安全公司，主流安全产品目前应该是能够检测出一些威胁变种的。 消息来源： Security Affairs ，编译：榆榆，校审：青楚、FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，安全研究人员在 Google Play 商店中发现了至少 85 个旨在窃取俄罗斯社交网络 VK.com 用户证书的应用程序，这些应用程序累计已被下载数百万次。即使经过 Google 的不懈努力（如启动漏洞赏金计划、阻止应用程序使用 Android 的辅助功能等），恶意应用程序还是能够以某种方式进入 Google 商店并设法通过恶意软件感染用户。因此研究人员强烈建议用户在下载应用程序时，一定要保持高度警惕。 调查结果显示，这些恶意应用程序中包含一款非常流行的游戏应用程序，其下载量已超过一百万次。 卡巴斯基实验室在周二发布的分析报告中表示，这个应用程序最初在 2017 年 3 月上传时只是一个没有任何恶意代码的游戏应用程序。  然而7个多月之后幕后团队却为其增加了信息窃取功能。 除了这款游戏外， 其他应用程序于 2017 年 10 月被上传到 Play 商店。据统计显示，其中有 7 个应用程序下载安装数量达到 1-10 万次、另有 9 个下载安装量在 1,000 – 1 万次之间，其余应用的下载量则不足 1000 次。 网络犯罪分子如何窃取账户凭证 由于 VK.com 主要在独联体国家的用户中流行，因此恶意应用程序主要针对的是使用俄罗斯、乌克兰、罗马尼亚，白俄罗斯等国语言的用户群体。 分析结果显示，这些应用程序使用 VK.com 的官方 SDK，但会利用恶意 JavaScript 代码稍作修改，从 VK 的标准登录页面中窃取用户凭据，并将其传递回自身应用程序中。这些页面与来自 VK.com 的标准登录页面非常相似，因此普通用户很难发现其中可疑之处，而被盗的证书会在被加密后上传到由网络犯罪分子控制的远程服务器中。 有趣的是，这些恶意软件还使用了 OnPageFinished 方法中的恶意 JS 代码，但这不仅用于提取凭据，而且还被用于数据上传。 研究人员认为，网络犯罪分子使用被盗用户的凭证主要是为了在 VK.com 上 推广各类用户群组、提高一些账户或群组的 “ 知名度 ”，即类似于国内社交媒体中流行的 “ 涨粉 ” 活动。此外，研究人员还指出，他们还在 Google Play 商店中发现了几个由同一网络犯罪分子提交的应用程序，比如以非官方身份通过电子邮件发布假的 Telegram 应用等。 这些伪装成 Telegram 的应用程序实际上是用 Telegram 的开源 SDK 构建的，但几乎和其他的应用程序一样。它们会根据从服务器上收到的列表添加受感染的用户来推广群组/聊天。 如何保护设备免受这些恶意应用程序的侵害 卡巴斯基报告中指出，目前发现的所有恶意程序包括窃取凭证的应用程序（检测为Trojan-PSW.AndroidOS.MyVk.o）和恶意的 Telegram 客户端（检测为非病毒：HEUR：RiskTool.AndroidOS.Hcatam.a ） 等都已经被 Google Play 商店删除，而已经在移动设备上安装了上述应用程序的用户可启用 Google Play Protect 保护功能卸载恶意程序，以保障自身设备安全。 同时，研究人员提醒用户除了尽量选择从官方渠道下载安装应用程序外，最好能够养成下载前核对 APP 开发者、查看下载量和参考其他用户评论、以及确认应用程序权限等良好习惯。 相关阅读： 来自卡巴斯基的分析报告：《Still Stealing》 消息来源： thehackernews ，编译：榆榆，校审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。