HackerNews 编译，转载请注明出处： 网络安全公司Check Point披露，黑客利用伪造的Kling AI社交媒体页面及广告，诱导用户下载恶意软件。Kling AI是快手科技2024年6月推出的AI生成图像与视频平台，截至2025年4月用户超2200万。攻击者仿冒官网（如klingaimedia[.]com）设置钓鱼网站，宣称支持浏览器端生成多媒体内容，实则提供藏匿恶意代码的ZIP压缩包。 恶意文件采用双重扩展名（如.jpg.exe）及韩语填充符（0xE3 0x85 0xA4）伪装。压缩包内嵌加载器程序，可植入远程访问木马PureHVNC，并窃取浏览器凭证、会话令牌等数据。该加载器具备反分析能力： 监测Wireshark、OllyDbg等安全工具进程 修改注册表实现持久化驻留 通过注入CasPol.exe等系统进程规避检测 第二阶段载荷PureHVNC RAT使用.NET Reactor混淆，连接C2服务器185.149.232[.]197，具备窃取Chromium浏览器加密货币钱包插件数据、捕捉含特定关键词（银行/钱包名称）窗口截屏等功能。 Check Point已发现至少70个仿冒Kling AI的推广帖，部分广告显示攻击者可能来自越南。这种利用Facebook广告分发窃密软件的手法，与越南黑客组织近年活动模式高度吻合——例如2025年4月Morphisec曾曝光越南团伙通过虚假AI工具传播Noodlophile窃密程序。 《华尔街日报》指出，Meta旗下Facebook和Instagram正面临“诈骗泛滥”，虚假促销、投资骗局及赠品欺诈内容多源自斯里兰卡、越南及菲律宾。另据Rest of World调查，东南亚人口贩卖集团通过Telegram和Facebook发布虚假招聘广告，诱骗印尼青年至诈骗园区从事跨国投资欺诈。 Check Point警告，此类攻击结合社会工程与高阶恶意软件技术，标志着社交媒体定向攻击趋向精准化、复杂化。安全团队建议用户警惕AI工具类广告，下载前验证域名真实性，并启用实时文件扫描防护。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者至少持续八个月分发被植入木马的KeePass密码管理器版本，用于安装Cobalt Strike信标、窃取凭证并最终在攻陷网络中部署勒索软件。 WithSecure威胁情报团队在调查某次勒索攻击时发现了该活动。研究人员发现，攻击始于通过Bing广告推广的虚假软件网站传播恶意KeePass安装程序。 由于KeePass是开源软件，攻击者通过修改源代码构建了名为KeeLoader的木马版本。该版本保留了密码管理器的全部正常功能，但被植入了安装Cobalt Strike信标的代码，并将KeePass密码数据库以明文形式导出，随后通过信标实施窃取。 WithSecure指出，本次活动中使用的Cobalt Strike水印与某初始访问代理（IAB）存在关联，该代理疑似曾参与Black Basta勒索软件攻击。Cobalt Strike水印是嵌入信标的唯一标识符，与生成载荷时使用的许可证绑定。 “这种水印常见于涉及Black Basta勒索软件的信标和域名。很可能是由与Black Basta密切合作的初始访问代理使用，”WithSecure解释道，“我们尚未发现其他使用此Cobalt Strike信标水印的事件（无论是勒索软件还是其他类型），但这不意味着此类事件不存在。” 研究人员发现多个KeeLoader变种已通过合法证书签名，并借助keeppaswrd[.]com、keegass[.]com和KeePass[.]me等仿冒域名传播。BleepingComputer证实，keeppaswrd[.]com网站仍在运营，持续分发带毒安装程序（VirusTotal检测记录）。 除部署Cobalt Strike信标外，木马化KeePass程序还包含密码窃取功能，可窃取用户输入的所有凭证。WithSecure报告指出：“KeeLoader不仅被改造为恶意软件加载器，其功能还被扩展以实现密码数据库窃取。当KeePass数据库被打开时，账户、登录名、密码、网站及备注信息会以CSV格式导出至%localappdata%目录，文件名采用100-999之间的随机整数值。” 在WithSecure调查的案例中，攻击最终导致该公司的VMware ESXi服务器遭勒索软件加密。进一步调查发现，攻击者构建了庞大基础设施用于分发伪装成合法工具的恶意程序，以及用于窃取凭证的钓鱼页面。 aenys[.]com域名被用于托管多个仿冒知名企业的子域名，包括WinSCP、PumpFun、Phantom Wallet、Sallie Mae、Woodforest Bank和DEX Screener。这些子域名分别用于分发不同恶意软件变种或实施凭证窃取。 WithSecure以中等置信度将该活动归因于UNC4696组织，该团伙此前与Nitrogen Loader攻击活动存在关联。早期的Nitrogen活动涉及BlackCat/ALPHV勒索软件。 安全专家建议用户始终从官方网站下载软件（尤其是密码管理器等高敏感度工具），并避免点击广告中的链接。即使广告显示的是软件服务的正确URL，也应保持警惕——攻击者已多次证明其有能力绕过广告政策，在显示真实URL的同时将用户导向仿冒网站。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，新型信息窃取软件“Noodlophile窃密者”正通过伪造的AI视频生成工具传播。攻击者在Facebook高流量群组投放名为“造梦机器”（Dream Machine）的广告，宣称可通过上传文件生成AI视频，实则诱导用户下载恶意压缩包。 感染链分析显示，受害者下载的ZIP文件内藏名为“Video Dream MachineAI.mp4.exe”的可执行程序（实为CapCut视频编辑软件v445.0版本的重打包程序），利用Winauth工具伪造数字签名。当用户双击该文件时，系统会执行多阶段攻击流程： 启动批处理脚本：通过install.bat调用Windows系统工具certutil.exe，解码Base64加密的带密码RAR压缩包（伪装为PDF文档） 建立持久化：在注册表添加自启动项 载荷注入：根据目标环境选择注入方式——若检测到Avast杀毒软件，则通过PE空心化技术将恶意代码注入RegAsm.exe进程；否则直接使用Shellcode内存加载 窃密执行：运行从硬编码服务器获取的混淆Python脚本，最终在内存中激活Noodlophile窃密者 该恶意软件具备三重数据窃取能力： 浏览器凭证：盗取Chrome、Edge等浏览器的账号密码、会话Cookie及身份令牌 数字资产：扫描加密货币钱包文件（如metamask.txt、ledger.txt等）与私钥 远程控制：部分样本捆绑XWorm远控木马，实现主动渗透 窃取数据通过Telegram机器人实时回传至攻击者，形成隐蔽的C2通道。安全公司Morphisec指出，此恶意软件即服务（MaaS）由越南语系犯罪团伙运营，暗网论坛提供“Cookie+密码提取”订阅服务。防御建议包括：禁用Windows文件扩展名隐藏功能，下载文件前验证数字签名，并使用更新至最新病毒库的安全软件扫描。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周二，联邦陪审团裁定，NSO集团需向Meta旗下的WhatsApp支付约1.68亿美元的赔偿金。此前四个月，一名联邦法官判定这家以色列公司违反美国法律，通过WhatsApp服务器部署Pegasus间谍软件，对全球超过1400名个人实施攻击。 WhatsApp于2019年首次对NSO集团提起诉讼，指控其利用Pegasus针对记者、人权活动家和政治异见人士。 审判期间公布的法庭文件显示，此次行动中，456名墨西哥人被攻击，其次是印度的100名受害者、巴林的82人、摩洛哥的69人和巴基斯坦的58人。总计有来自51个不同国家的个人受到影响。 这些攻击利用了当时WhatsApp语音通话功能的一个零日漏洞（CVE-2019-3568，CVSS评分：9.8），触发了间谍软件的部署。 2024年12月发布的一项裁决中，美国地区法官Phyllis J. Hamilton指出，在2019年5月的相关时间段内，Pegasus通过WhatsApp位于加利福尼亚的服务器发送了43次。 Meta旗下WhatsApp的负责人Will Cathcart在X上表示：“我们对间谍软件开发商NSO的案件在2024年12月创造了历史，当时法院裁定他们违反了美国的联邦和州法律。” “今天陪审团对NSO的惩罚性裁决是对间谍软件行业的一个重要威慑，防止他们对美国公司和全球用户进行非法行为。” Cathcart补充说，公司的下一步是申请法院命令，防止NSO再次攻击WhatsApp，并表示将向致力于保护人们免受此类攻击的数字权利组织捐款。 除了1.67254亿美元的惩罚性赔偿外，陪审团还裁定NSO集团必须向WhatsApp支付444719美元的补偿性赔偿，以补偿WhatsApp工程师为阻止攻击途径所做的重大努力。 这一裁决是隐私倡导者和人权组织的重大胜利，他们曾多次指责NSO集团将其强大的监控软件授权给客户，以监视民间社会成员。 尽管NSO集团试图通过声称其无法了解客户如何使用Pegasus来逃避责任，但汉密尔顿法官指出，它不能一方面声称其意图是帮助客户打击恐怖主义和儿童剥削，另一方面又声称与客户如何使用该技术无关，除了提供建议和支持。 Meta表示：“NSO被迫承认，它每年花费数千万美元开发恶意软件安装方法，包括通过即时通讯、浏览器和操作系统，而且其间谍软件至今仍能够入侵iOS或Android设备。” 在与Courthouse News和POLITICO分享的声明中，NSO集团表示，其技术在防止严重犯罪和恐怖主义方面发挥着关键作用，并且打算寻求适当的法律补救措施。该公司因从事“恶意网络活动”于2021年被美国政府制裁。 苹果公司曾对NSO集团提起类似的诉讼，但在2024年9月撤销了该诉讼，理由是继续进行可能会泄露其安全计划的敏感细节。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 网络安全研究人员警告，名为XorDDoS的分布式拒绝服务（DDoS）恶意软件持续构成威胁，2023年11月至2025年2月期间观测到的攻击中有71.3%针对美国。 “2020至2023年间，XorDDoS木马感染量显著攀升，”思科Talos研究员Joey Chen在周四的分析报告中指出，”此趋势不仅源于XorDDoS木马的全球广泛传播，更与其命令控制（C2）基础设施相关的恶意DNS请求激增有关。除常规暴露的Linux设备外，该木马现已将攻击范围扩展至Docker服务器，将受感染主机转化为僵尸节点。” 近42%的受控设备位于美国，其次是日本、加拿大、丹麦、意大利、摩洛哥与中国。 XorDDoS是臭名昭著的恶意软件，过去十余年持续攻击Linux系统。2022年5月，微软报告XorDDoS活动激增，其感染为Tsunami等加密货币挖矿软件铺路。 主要初始入侵途径是通过SSH暴力攻击获取有效凭证，进而在存在漏洞的物联网及其他联网设备上下载安装恶意软件。 成功植入后，恶意软件通过内嵌初始化脚本与定时任务（cron job）建立持久化机制，确保系统启动时自动运行。同时利用XOR密钥”BB2FA36AAA9541F0″解密内置配置，提取C2通信所需IP地址。 Talos表示，2024年观测到名为VIP版的XorDDoS子控制器新版本及其配套中央控制器与构建器，表明该恶意软件可能已进入商业化销售阶段。 中央控制器负责管理多个XorDDoS子控制器并同步发送DDoS指令，每个子控制器则操控由受感染设备组成的僵尸网络。 Chen强调道。“多层控制器、XorDDoS构建器与控制端绑定工具的语言设置强烈暗示，幕后运营者为中文使用者。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种名为ResolverRAT的新型复杂远程访问木马，该木马已被观察到针对医疗保健和制药行业发起攻击。 “攻击者利用通过网络钓鱼电子邮件发送的基于恐惧的诱饵，旨在迫使收件人点击恶意链接，”Morphisec实验室研究员Nadav Lorber表示，“一旦访问，该链接会引导用户下载并打开一个触发ResolverRAT执行链的文件。” 最近一次观察到的活动是在2025年3月10日，其与去年思科Talos和Check Point记录的传播信息窃取恶意软件（如Lumma和Rhadamanthys）的网络钓鱼活动存在基础设施和传递机制的重叠。此次行动的一个显著特点是使用本地化的网络钓鱼诱饵，电子邮件以目标国家主要使用的语言撰写，包括印地语、意大利语、捷克语、土耳其语、葡萄牙语和印尼语，这表明攻击者试图通过针对特定地区的攻击来扩大攻击范围，以最大限度地提高感染率。 电子邮件内容涉及法律调查或版权侵权等主题，旨在制造虚假的紧迫感，增加用户互动的可能性。 感染链的特征是使用DLL侧加载技术来启动进程。第一阶段是一个内存加载器，它解密并执行主要有效载荷，同时还采用多种技巧来逃避检测。ResolverRAT有效载荷不仅使用加密和压缩，而且一旦解码，它只存在于内存中。 “ResolverRAT的初始化序列揭示了一个复杂、多阶段的引导过程，旨在实现隐蔽性和弹性，”Lorber说，并补充说它通过Windows注册表和在文件系统中安装在不同位置作为备用机制，实现了多种冗余持久化方法。 一旦启动，该恶意软件在与命令与控制（C2）服务器建立联系之前使用定制的证书认证，从而绕过机器的根证书颁发机构。它还实施了一个IP轮换系统，如果主C2服务器不可用或被关闭，它将连接到备用C2服务器。 此外，ResolverRAT配备了通过证书固定、源代码混淆和不规则信标模式向C2服务器发送信号来逃避检测的能力。 “这种先进的C2基础设施展示了攻击者的高级能力，结合了安全通信、备用机制和旨在维持持久访问同时逃避安全监控系统检测的逃避技术，”Morphisec表示。 该恶意软件的最终目标是处理C2服务器发出的命令，并将响应数据传回，将超过1MB大小的数据分解为16KB的块，以最大限度地减少被检测到的可能性。 尽管此次行动尚未被归因于特定的组织或国家，但诱饵主题的相似性和与之前观察到的网络钓鱼攻击中使用的DLL侧加载的使用暗示了可能的联系。 “这种对齐表明攻击者基础设施或行动手册可能存在重叠，可能指向相关威胁组织之间的共同附属模式或协调活动，”该公司表示。 随着CYFIRMA详细描述了另一种名为海王星RAT的远程访问木马，该木马采用模块化、基于插件的方法来窃取信息、在主机上保持持久性、索要500美元的赎金，甚至覆盖主引导记录（MBR）以扰乱Windows系统的正常运行，这一发展也随之而来。 它通过GitHub、Telegram和YouTube免费传播。尽管如此，与该恶意软件相关的GitHub个人资料（称为MasonGroup，即FREEMASONRY）目前已无法访问。 “海王星RAT结合了先进的反分析技术和持久性方法，以在受害者的系统上长期保持存在，并配备了危险的功能，”该公司在上周发布的分析中指出。 它包括“加密剪贴板、能够窃取270多个不同应用程序凭证的密码窃取器、勒索软件功能以及实时桌面监控，使其成为一个极其严重的威胁。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种名为“Crocodilus”的新型Android银行木马，其主要攻击目标是西班牙和土耳其的用户。 据ThreatFabric称，Crocodilus甫一登场便是一个成熟的威胁，具备现代技术，如远程控制、黑屏覆盖以及通过辅助功能记录数据等。 与其他同类银行木马一样，该恶意软件旨在实现设备接管（DTO），并最终进行欺诈交易。对源代码和调试消息的分析显示，该恶意软件的作者使用的是土耳其语。 荷兰移动安全公司ThreatFabric分析的Crocodilus样本伪装成谷歌Chrome浏览器（软件包名称为“quizzical.washbowl.calamity”），充当一个能够绕过Android 13及以上版本限制的下载程序。 安装并启动后，该应用会请求访问Android辅助功能服务，随后与远程服务器建立联系，以接收进一步指令、被攻击的金融应用列表以及用于窃取凭证的HTML覆盖层。 Crocodilus还能够针对加密货币钱包发起攻击，其覆盖层不是提供一个虚假的登录页面来捕获登录信息，而是显示一条警告信息，敦促受害者在12小时内备份他们的种子短语，否则可能会失去对钱包的访问权限。 这种社会工程技巧不过是威胁行为者的一种手段，目的是引导受害者访问其种子短语，然后通过滥用辅助功能服务来收集这些短语，从而让他们能够完全控制钱包并转移资产。 “它持续运行，监控应用启动并显示覆盖层以拦截凭证，”ThreatFabric说，“该恶意软件监控所有辅助功能事件并捕获屏幕上显示的所有元素。” 这使得恶意软件能够记录受害人在屏幕上执行的所有操作，以及触发对Google Authenticator应用内容的屏幕截图。 Crocodilus的另一个特点是能够通过显示黑屏覆盖层来隐藏设备上的恶意行为，同时静音声音，从而确保这些行为不被受害者发现。 该恶意软件支持的一些重要功能如下： 启动指定的应用程序 从设备上自我删除 发送推送通知 向所有/选定联系人发送短信 获取联系人列表 获取已安装的应用程序列表 获取短信 请求设备管理权限 启用黑屏覆盖层 更新C2服务器设置 启用/禁用声音 启用/禁用键盘记录使自己成为默认的短信管理器 “Crocodilus移动银行木马的出现标志着现代恶意软件的复杂性和威胁水平有了显著的升级，”ThreatFabric说，“凭借其先进的设备接管能力、远程控制功能，以及从最早版本就开始部署的黑屏覆盖层攻击，Crocodilus展现出了在新发现的威胁中不常见的成熟度。” 与此同时，Forcepoint披露了一项网络钓鱼活动的细节，该活动被发现利用税务主题的诱饵来分发针对墨西哥、阿根廷和西班牙Windows用户的Grandoreiro银行木马，其传播手段是一种经过混淆处理的Visual Basic脚本。   消息来源：The Hacker News；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

zLabs发现了AppLite，它是AntiDot银行木马的一个复杂的新变种，通过大范围的网络钓鱼活动以安卓设备为目标。该恶意软件伪装成 Chrome、TikTok 和企业工具等合法应用程序，能够窃取敏感凭证并完全控制受感染的设备。 该活动背后的攻击者采用了精心设计的社交工程策略来引诱受害者。他们伪装成人力资源代表或工作招聘人员，向潜在受害者发送精心制作的网络钓鱼电子邮件。这些电子邮件将用户重定向到模仿知名公司和教育机构的钓鱼网站，敦促他们下载恶意安卓应用程序。 一旦安装，这个看似合法的应用程序就会充当滴管，将 AppLite 银行木马暗中发送到受害者的设备上。正如 zLabs 所解释的那样： “受害者会被重定向到一个恶意登陆页面，以继续申请流程或安排面试。登陆页面会操纵受害者下载并安装一个恶意程序。 攻击序列 Zimperium AppLite 使用 ZIP 操作等混淆技术来逃避安全工具的检测： “恶意行为者经常使用各种方法改变 APK 文件的 ZIP 格式和 Android Manifest 文件的结构，使分析工具失效并逃避检测。解析器如果不更新，可能无法正确处理文件，从而使恶意软件绕过检测机制，继续安装在目标设备上。” 与其他银行木马类似，AppLite 利用叠加攻击来欺骗用户。当目标应用程序启动时，恶意软件会叠加一个模仿合法应用程序的恶意 HTML 页面，诱骗用户输入敏感凭据。 恶意软件通过 Webocket 与其命令和控制 (C&C) 服务器建立连接，实现实时双向通信。攻击者可以发布命令收集敏感数据，如联系人、短信和应用程序凭据，甚至可以利用虚拟网络计算（VNC）功能远程控制设备。 AppLite 最令人震惊的功能是自动解锁设备。通过使用辅助功能服务，它可以识别锁定模式视图、计算移动路径并模拟触摸手势，从而在无需用户交互的情况下解锁设备。 该活动针对精通英语、西班牙语、法语、德语、意大利语、葡萄牙语和俄语的用户。主要受害者是 95 个银行应用程序、62 个加密货币应用程序和其他金融服务的用户，分布在北美、欧洲和亚洲部分地区。     转自安全客，原文链接：https://www.anquanke.com/post/id/302672 封面来源于网络，如有侵权请联系删除

Cleafy威胁情报和响应（TIR）团队最新揭露了DroidBot，一种复杂的Android远程访问木马（RAT），与土耳其恶意软件即服务（MaaS）操作有关。 DroidBot具有先进的功能，正在进行针对欧洲银行机构、加密货币交易所和国家组织的积极活动，移动恶意软件威胁显著升级。 DroidBot于2024年6月首次被发现，它结合了高级功能，包括隐藏的VNC、覆盖攻击和类似间谍软件的键盘记录，使其成为设备欺诈的强大工具。 它采用双通道通信，使用MQTT传输出站数据，使用HTTPS传输入站命令，确保灵活性和弹性。 “DroidBot是一种高级的Android远程访问木马（RAT）……具有通常与间谍软件相关的特性，能够拦截用户交互和窃取凭证。”Cleafy报告指出。 该恶意软件目前针对英国、意大利、法国、西班牙和葡萄牙等国家的77个实体，有迹象表明其正在扩展到拉丁美洲。 Cleafy强调，“先进的监控功能、双通道通信、多样化的目标列表和活跃的MaaS基础设施相结合，突显了DroidBot的复杂性和适应性。” 与传统的恶意软件活动不同，DroidBot作为恶意软件即服务（MaaS）运营，允许合作伙伴通过订阅模式访问其功能。每个合作伙伴都被分配了唯一的标识符，一个Telegram频道宣传DroidBot的功能，每月3000美元的费用。 宣传新Android机器人的论坛帖子 来源：Cleafy “DroidBot在移动威胁领域引入了一种众所周知但尚未广泛传播的范式。”Cleafy解释说，并强调了这种方法提供的可扩展性和覆盖范围。 DroidBot通过社会工程策略分发，伪装成合法的安全或银行应用程序。滥用Android无障碍服务来执行恶意操作，包括： 键盘记录：捕获敏感输入，例如登录凭据。 覆盖攻击：在合法应用程序上显示虚假登录页面以收集凭据。 类似VNC的例程：为攻击者提供设备活动的连续屏幕截图。 远程控制：使攻击者能够模拟用户交互并操纵设备。 值得注意的是，DroidBot将MQTT用于其命令和控制（C2）基础设施，这是一种通常用于IoT系统的协议。这种非常规的选择有助于逃避检测并提高运营弹性。 Cleafy的分析表明，DroidBot仍在积极开发中，具有占位符函数和不同级别的样本混淆。 调试字符串和恶意软件配置等证据表明，其开发人员是土耳其语使用者，针对英语、意大利语、西班牙语和土耳其语用户进行了本地化。 DroidBot对金融机构和高价值目标构成重大威胁。其运营模式提升了监控和防御此类攻击的规模和复杂性。 正如Cleafy警告的那样，“真正的担忧点在于这种新的分发和合作模式，这将把攻击面的监控提升到一个全新的水平。”     转自E安全，原文链接：https://mp.weixin.qq.com/s/FqiiePg8u0fqvei3YLEFFQ 封面来源于网络，如有侵权请联系删除  

近期，研究人员在野外发现了 TrickMo Android 银行木马的 40 个新变种，它们与 16 个下载器和 22 个不同的命令和控制（C2）基础设施相关联，具有旨在窃取 Android 密码的新功能。 Zimperium 和 Cleafy 均报道了此消息。 TrickMo 于 2020 年首次被 IBM X-Force 记录在案，但人们认为它至少从 2019 年 9 月开始就被用于攻击安卓用户。 新版 TrickMo 利用虚假锁屏窃取安卓密码 新版 TrickMo 的主要功能包括一次性密码（OTP）拦截、屏幕录制、数据外渗、远程控制等。 该恶意软件试图滥用强大的辅助功能服务权限，为自己授予额外权限，并根据需要自动点击提示。 该银行木马能够向用户提供各种银行和金融机构的钓鱼登录屏幕覆盖，以窃取他们的账户凭据，使攻击者能够执行未经授权的交易。 攻击中使用的银行业务覆盖，来源：Zimperium Zimperium 分析师在剖析这些新变种时还报告了一种新的欺骗性解锁屏幕，它模仿了真正的安卓解锁提示，旨在窃取用户的解锁模式或 PIN 码。 Zimperium解释称：欺骗性用户界面是一个托管在外部网站上的HTML页面，以全屏模式显示在设备上，使其看起来像一个合法的屏幕。 当用户输入解锁模式或 PIN 码时，页面会将捕获的 PIN 码或模式详情以及唯一的设备标识符（Android ID）传输到 PHP 脚本。 TrickMo 展示的伪造安卓锁屏，来源：Zimperium 通过窃取 PIN 码，攻击者可以在设备不受监控时（可能是在深夜）解锁设备，从而在设备上实施欺诈。 暴露的受害者 由于 C2 基础设施的安全防护不当，Zimperium 还能够确定至少有 13000 名受害者受到了该恶意软件的影响，其中大部分位于加拿大，还有相当数量的受害者位于阿拉伯联合酋长国、土耳其和德国。 TrickMo 受害者热图，来源：Zimperium 据 Zimperium 称，这一数字与 “多个 C2 服务器 ”相对应，因此 TrickMo 受害者的总数可能更高。另外，分析发现，每当恶意软件成功渗出凭证时，IP列表文件就会定期更新。在这些文件中，研究人员发现了数以百万计的记录，这表明被入侵的设备数量庞大，威胁行为者访问了大量敏感数据。 由于 C2 基础设施配置不当，可能会将受害者数据暴露给更广泛的网络犯罪社区，Cleafy 此前一直未向公众公布入侵指标。Zimperium 现在选择在 GitHub 存储库中发布所有信息。 然而，TrickMo 的目标范围似乎足够广泛，涵盖了银行以外的应用程序类型（和账户），包括 VPN、流媒体平台、电子商务平台、交易、社交媒体、招聘和企业平台。 由于 C2 基础设施配置不当，可能会将受害者数据暴露给更广泛的网络犯罪社区，Cleafy 此前一直未向公众公布入侵指标，但 Zimperium 现在选择在 GitHub 存储库中发布所有信息。 据悉，TrickMo 目前是通过网络钓鱼传播的，因此为了尽量减少感染的可能性，应避免从不认识的人通过短信或直接消息发送的 URL 下载 APK。 Google Play Protect 可以识别并阻止 TrickMo 的已知变种，因此确保它在设备上处于激活状态对于抵御恶意软件至关重要。 参考来源：TrickMo malware steals Android PINs using fake lock screen (bleepingcomputer.com)     转自FreeBuf，原文链接：https://www.freebuf.com/news/412834.html 封面来源于网络，如有侵权请联系删除