思科 Talos 团队发现一种名为MoonPeak的新型远程访问木马，思科 Talos 将此次恶意网络活动归咎于其追踪的编号为 UAT-5394 的黑客组织，并称该组织与代号为Kimsuky 的朝鲜黑客组织存在一定程度的战术重叠。 MoonPeak 是由攻击者开发的，它是开源Xeno RAT恶意软件的一个变种，之前曾作为网络钓鱼攻击的一部分进行部署，旨在从攻击者控制的云服务（如 Dropbox、Google Drive 和 Microsoft OneDrive）中检索有效负载。 Xeno RAT 的一些主要功能包括加载附加插件、启动和终止进程以及与命令和控制 (C2) 服务器通信的能力。 Talos 表示，两组入侵行为之间的共同点表明 UAT-5394 实际上是 Kimsuky（或其分支）发起的，或者是朝鲜网络机构内的另一个黑客团队，他们从 Kimsuky 那里借用了工具箱。 实现该活动的关键是使用新的基础设施，包括 C2 服务器、有效载荷托管站点和测试虚拟机，这些都是为生成 MoonPeak 的新迭代而创建。 Talos 研究人员 Asheer Malhotra、Guilherme Venere 和 Vitor Ventura在周三发表的分析报告中表示：“C2 服务器托管可供下载的恶意文件，然后用于访问和设置新的基础设施来支持这一活动。” “在多个实例中，我们还观察到攻击者访问现有服务器以更新其有效载荷并检索从 MoonPeak 感染收集的日志和信息。” 这一转变被视为从使用合法云存储提供商转向建立自己的服务器的更广泛举措的一部分。不过，目前尚不清楚此次活动的目标。 这里要注意的一个重要方面是“MoonPeak 的不断发展与威胁行为者建立的新基础设施密切相关”，并且每个新版本的恶意软件都会引入更多的混淆技术来阻止分析和改变整体通信机制以防止未经授权的连接。 “简而言之，攻击者确保 MoonPeak 的特定变体仅与 C2 服务器的特定变体一起工作。”研究人员指出，“新恶意软件的持续采用及其演变（例如 MoonPeak 的情况）的时间表突显出 UAT-5394 继续在其武器库中添加和增强更多工具。UAT-5394 建立新支持基础设施的速度之快表明，该组织旨在迅速扩大这一活动并建立更多的投放点和 C2 服务器。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/UefWT-cRw_fcjmg1qvb3dg 封面来源于网络，如有侵权请联系删除

近日，Cleafy 公司的威胁情报团队发现，专门针对安卓系统的Medusa银行木马软件再次“卷土重来”。该软件此前曾对法国、意大利、美国、加拿大、西班牙、英国和土耳其发起过攻击活动，沉寂了一年后，如今又出现了新的 Medusa 恶意软件变种。 Medusa 银行木马也被称为 TangleBot，是 2020 年发现的一种安卓恶意软件即服务（MaaS）操作。该恶意软件提供键盘记录、屏幕控制和短信操作功能。 虽然名称相同，但该行动不同于勒索软件团伙和基于 Mirai 的分布式拒绝服务（DDoS）攻击僵尸网络。 研究人员表示，这些恶意软件变种更轻巧，在设备上需要的权限更少，而且包括全屏覆盖和截图捕获。 最新活动 Cleafy 的研究人员表示，2023年7月就曾在依靠短信钓鱼（”smishing”）的活动中发现了Medusa 变种，它们通过滴注应用程序侧载恶意软件。当时共发现了 24 个使用该恶意软件的活动，研究人员将其归因于五个独立的僵尸网络（UNKN、AFETZEDE、ANAKONDA、PEMBE 和 TONY），这些僵尸网络负责发送恶意应用程序。 UNKN 僵尸网络由一群不同的威胁行为者运营，主要针对欧洲国家，特别是法国、意大利、西班牙和英国。 Medusa 僵尸网络和集群概述，资料来源： Cleafy 在这些攻击中使用的钓鱼应用程序包括一个虚假的 Chrome 浏览器、一个 5G 连接应用程序和一个名为 4K Sports 的假冒流媒体应用程序。 鉴于 2024 年欧洲杯正在进行中，选择 4K 体育流媒体应用程序作为诱饵似乎恰逢其时。 Cleafy 评论说，所有活动和僵尸网络都由 Medusa 的中央基础设施处理，该基础设施从公共社交媒体配置文件中动态获取指挥和控制（C2）服务器的 URL。 从秘密渠道检索 C2 地址，图片来源：Cleafy 新的 Medusa 变种 Medusa恶意软件的创建者减少了其在被攻击设备上的足迹，现在只要求一小部分权限。不过仍需要安卓的可访问性服务。 此外，该恶意软件还保留了访问受害者联系人列表和发送短信的功能。 所申请权限的比较，资料来源： Cleafy Cleafy 的分析显示，恶意软件作者删除了前一版本恶意软件中的 17 条命令，并添加了 5 条新命令： destroyo：卸载特定应用程序 permdrawover：请求 “Drawing Over “权限 setoverlay：设置黑屏覆盖 take_scr：截图 update_sec：更新用户秘密 值得注意的是，”setoverlay “命令允许远程攻击者执行欺骗性操作，例如使设备显示锁定/关闭，以掩盖后台发生的恶意 ODF 活动。 实际黑屏覆盖，图片来源：Cleafy 捕获屏幕截图的新功能也是此次新增的一个重要功能，它为威胁者提供了一种从受感染设备中窃取敏感信息的新方法。 总体而言，Medusa 移动银行木马的行动相比之前扩大了目标范围，并且行动更加隐蔽难以发现，为后续发起更大规模的攻击行动“奠定”了基础。 虽然 Cleafy 目前还未在 Google Play 上发现任何此类程序，但随着加入 MaaS 的网络犯罪分子数量不断增加，其传播策略也将变得更加复杂。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404489.html 封面来源于网络，如有侵权请联系删除

据观察，与哈马斯有关的高级持续性威胁 (APT) 组织 Arid Viper 早在 2022 年就使用 Android 间谍软件 AridSpy。现在，研究人员首次对该恶意软件之前神秘的后期阶段进行了全面分析。 ESET 的研究人员最近发布了一份关于 AridSpy 活动的新报告，结果表明 AridSpy 是通过木马消息应用程序进行传播的。 报告称：“在这些攻击活动中，AridSpy 被改造成一个多阶段木马，最初的木马应用程序会从命令和控制服务器下载额外的有效载荷。” 报告称，研究人员分析了五起针对埃及和巴勒斯坦 Android 用户的 AridSpy 攻击活动。AridSpy 经常潜伏在具有合法功能的应用程序中，使其更难被发现。 ESET 表示，在本例中，巴勒斯坦的受害者被一款冒充巴勒斯坦民事登记处的恶意应用程序的广告所针对。在埃及，第一阶段的间谍软件隐藏在一款名为 LapizaChat 的应用程序中以及诈骗性质的工作机会发布中。这些应用程序可从威胁行为者控制的第三方网站（而非 Google Play）下载。 被木马感染的消息应用程序 分析表明，一旦第二阶段数据泄露开始，该威胁组织将能够收集大量数据，包括设备位置、联系人列表、通话记录、短信、照片缩略图、剪贴板数据、通知、视频录制缩略图，以及让网络犯罪分子能够录制音频、拍照等。 报告称，此前的分析显示，AridSpy 曾在 2022 年针对卡塔尔举行的 FIFA 世界杯以及中东地区的其他活动展开攻击。 ESET 警告称，专用网站仍在运行至少三个 AridSpy 间谍活动。 报告称：“截至本文发布时，发现的五个攻击活动中有三个仍然活跃；这些攻击活动使用专门的网站来分发冒充 NortirChat、LapizaChat 和 ReblyChat 的恶意应用程序、招聘信息……以及巴勒斯坦民事登记应用程序。” 随着时间的推移，Arid Viper 也可能会维护和改进 AridSpy 代码。 研究人员指出：“当然，第二阶段的有效载荷携带了最新的更新和恶意代码更改，这些更改可以推送到其他正在进行的活动。”“这些信息表明 AridSpy 得到了维护，可能会收到更新或功能更改。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ah-zsfC8vkkcdVb7IBu_GQ 封面来源于网络，如有侵权请联系删除

近日，研究人员发现基于 Windows 的 Grandoreiro 特洛伊银行木马再次重新浮出水面。据悉，这是该木马在 2024 年 3 月份之后，又一次在全球范围内发动攻击。 IBM X-Force 表示，大规模网络钓鱼攻击活动可能由其他网络犯罪分子通过“推行”恶意软件即服务（MaaS）模式，针对遍布中美洲和南美洲，非洲，欧洲和印太地区的 60 多个国家 1500 多家银行，发动网络攻击行动。 值得一提的是，自出道以来，Grandoreiro 背后的运营商一直将“目光”锁定在了拉丁美洲、西班牙和葡萄牙等地区，也曾在这些地区发动了多次网络攻击活动，获得很多坏“名声”，但自从巴西当局试图关闭其基础设施后，该组织便开始了战略转变，谋求大规模自主扩张。 同时，Grandoreiro  恶意软件自身也进行了重大改进。 安全研究人员 Golo Mühr 和 Melissa Frydrych 指出， 在对 Grandoreiro  恶意软件进行详细分析后，发现其对字符串解密和域生成算法（DGA）进行了重大更新，并能在受感染主机上使用微软 Outlook 客户端进一步传播钓鱼电子邮件。 在进行网络攻击时，钓鱼邮件会指示收件人点击链接查看发票或付款（具体取决于诱惑的性质和邮件中假冒的政府实体），一旦点击了链接，用户会被重定向到一个 PDF 图标图像，最终被引导着下载一个包含 Grandoreiro 载入器可执行文件的 ZIP 压缩包。 自定义加载程序被人为地膨胀到 100 MB 以上，以绕过反恶意软件扫描软件。此外，它还负责确保受感染的主机不在沙盒环境中，将基本受害者数据收集到命令和控制 （C2） 服务器，以及下载和执行主要银行木马。 值得注意的是，该验证步骤还跳过了位于俄罗斯、捷克、波兰和荷兰的系统，以及位于美国且未安装杀毒软件的 Windows 7 机器。 特洛伊木马组件通过 Windows 注册表建立持久性开始执行，然后使用重新设计的 DGA 与 C2 服务器建立连接以接收进一步的指令，Grandoreiro 支持各种命令，允许威胁攻击者远程征用系统，执行文件操作并启用特殊模式，包括收集Microsoft Outlook数据并滥用受害者的电子邮件帐户以向其他目标发送垃圾邮件的新模块。 研究人员强调，为了与本地 Outlook 客户端进行交互，Grandoreiro 使用 Outlook 安全管理器工具，通过使用本地 Outlook 客户端发送垃圾邮件，Grandoreiro 可以利用电子邮件在受感染的受害者收件箱中传播，这很可能是导致从 Grandoreiro 中观察到大量垃圾邮件的原因。   转自Freebuf，原文链接：https://www.freebuf.com/news/401362.html 封面来源于网络，如有侵权请联系删除

网络安全研究人员最近发现一项 SugarGh0st RAT 活动，针对美国参与人工智能领域组织，包括学术界、私营企业和政府服务机构。 2024 年 5 月的活动被称为 UNK_SweetSpecter，使用 SugarGh0st RAT，这是一种根据 Gh0stRAT 定制的远程访问木马，是 Gh0stRAT 的定制变体。 Gh0stRAT 是一种较旧的商品木马，变体被用于针对与人工智能相关的实体，SugarGh0st RAT 历来被用于针对中亚和东亚的目标用户。 Proofpoint 发布的一份报告中描述，这些攻击利用免费电子邮件帐户来分发以 AI 为主题的诱饵，诱使收件人打开 zip 附件。 此后，感染链与思科 Talos之前发现的模式非常相似。值得注意的是，攻击者修改了注册表项名称以实现持久性，并利用了不同的命令和控制 (C2) 服务器。 Proofpoint 分析显示，UNK_SweetSpecter 将 C2 通信转移到了新域 account.gommask[.]online，这凸显了攻击者的敏捷性。 自初次报告以来，SugarGh0st RAT 仅参与了少数活动，表明其行动具有高度针对性。目标包括一家美国电信公司、一家国际媒体组织和一家南亚政府组织，几乎所有收件人的电子邮件地址似乎都是公开的。 Proofpoint写道：“虽然这些活动没有利用技术复杂的恶意软件或攻击链，但[我们的]遥测支持评估所识别的活动极具针对性。” “2024 年 5 月的攻击活动似乎针对不到 10 个人，根据开源研究，所有这些人似乎都与美国领先的人工智能组织有直接联系。” Proofpoint 无法将这些活动高度可信地归因于特定的黑客组织。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/iEXzE0TTvQ_NTxovy_fqBQ 封面来源于网络，如有侵权请联系删除

据 Dark Reading 消息，在全球广泛传播的“教父”（Godfather）系列银行木马已经衍生出超 1000 个变种样本，针对上百个移动端银行应用程序。 “教父”银行木马首次发现于 2022 年，具备记录屏幕和键盘输入、拦截双因素身份验证（2FA）电话和短信、发起银行转账等功能，已迅速成为网络犯罪（尤其是移动网络犯罪）中最普遍的恶意软件即服务产品之一。 根据 Zimperium 的 《2023 年移动银行劫案报告》，截至 2023 年年底，”教父 “的目标是遍布 57 个国家的 237 个银行应用程序，其分支机构将窃取的金融信息转移到包括美国、欧洲在内的至少 9 个国家和地区。 也正是由于巨大的影响力，该银行木马的开发人员以近乎工业化的规模为客户自动生成新的样本。令人担忧的是，这一模式并非“教父”木马所独有，Zimperium 首席科学家尼科·恰拉维格里奥（Nico Chiaraviglio）还追踪到一个更为庞大、目前仍处于保密状态的恶意软件系列，在野外有超过 10万个独特的样本。” “这太疯狂了。”尼科表示，“我们以前从未在一个恶意软件中看到过这么多的样本，这绝对是一种趋势。” 他同时指出，目前移动端的安全防护远落后于 PC 端，相比于 PC 端有 25% 的设备完全没有受到安全保护，在移动端这一比例高达 85% 。与此同时，移动威胁也在迅速升级——演变出众多不同的迭代版本，以至于反病毒程序很难将一种感染与下一种感染联系起来。 在 2022 年首次发现 “教父 “时，野外只有不到 10 个样本，到 2023 年年底，这个数字已经翻了100倍。 尼科建议自适应解决方案可以利用这一点来关联具有不同签名的相关恶意软件，另外可以使用人工智能（AI）来关注恶意软件的行为，而不是代码本身。”有了能够做到这一点的模型，不管你如何改变代码或应用程序的外观，我们仍然能够检测到它，”尼科说道。 但他也承认，这也是一场竞赛。他们做一些调整，攻击者也会做一些相应的策略，例如可以要求 AI 尽可能地变异代码，这将是多态恶意软件的领域，虽然这种情况在移动设备上并不常见，但可以预见诸如此类的恶意软件会越来越多。   转自FreeBuf，原文链接：https://www.freebuf.com/news/399446.html 封面来源于网络，如有侵权请联系删除

近日，NCC Group 研究员 Joshua Kamp发现 Vultur 安卓银行木马再一次“卷土重来”。 这一次，Vultur 新增了一系列新功能，开始通过加密其 C2 通信、使用多个加密有效载荷（这些有效载荷会在运行过程中解密）以及使用合法应用程序的“幌子”来实施其恶意行为。同时还改进了反分析和检测规避技术，使其操作者能够远程与移动设备交互并获取敏感数据。 据悉，Vultur 最早于2021年初被首次披露，该恶意软件能够利用安卓的可访问性服务API来执行其恶意行动。 据 NCC Group 观察，该恶意软件是通过谷歌Play商店上的木马程序传播的，它们伪装成身份验证器和生产力应用程序，诱导用户安装。这些插件应用程序是 “Brunhilda “的插件即服务（DaaS）的一部分。其他攻击链涉及利用短信和电话组合传播滴注程序，这种技术被称为面向电话的攻击交付（TOAD）。 Joshua Kamp 表示：该插件发出的第一条短信会引导受害者拨打电话。当受害者拨打该号码时，欺诈者会向受害者发送第二条短信，其中包括指向恶意程序的链接。 第一条短信的目的是通过指示收件人拨打号码以完成授权涉及大笔资金的虚假交易，从而诱发一种虚假的紧迫感。待受害者安装后，恶意程序就会执行三个相关的有效载荷（两个 APK 和一个 DEX 文件），这些有效载荷会将机器人注册到 C2 服务器，通过 AlphaVNC 和 ngrok 获取远程访问服务权限，并运行从 C2 服务器获取的命令。 Vultur 的一个显著特点是能够与受感染的设备进行远程交互，包括通过安卓的辅助服务进行点击、滚动和轻扫，以及下载、上传、删除、安装和查找文件。 此外，该恶意软件还能阻止受害者与预定义的应用程序列表进行交互，在状态栏中显示自定义通知，甚至禁用键盘防护以绕过锁屏安全措施。 Joshua Kamp 认为，Vultur最近的发展表明其重点已转向最大限度地实现对受感染设备的远程控制。Vultur能够发出滚动、轻扫手势、点击、音量控制、阻止应用程序运行等指令，甚至还集成了文件管理器功能，显然其主要目的是获得对受感染设备的完全控制权。 赛姆鲁团队近日披露了 Octo（又名 Coper）安卓银行木马向恶意软件即服务（malware-as-a-service）业务转型的进展，该软件正向其他威胁行为者提供信息窃取服务。 此外，该恶意软件还提供多种高级功能，包括键盘记录、拦截短信和推送通知，以及控制设备屏幕。它利用各种注入程序，通过显示伪造屏幕或覆盖层来窃取密码和登录凭证等敏感信息。此外，它还利用 VNC（虚拟网络计算）远程访问设备，增强其监控能力。 据统计，Octo 至少已入侵了 4.5 万台设备，这些设备主要分布在葡萄牙、西班牙、土耳其、美国、法国、荷兰、加拿大、印度和日本。 该恶意软件通过恶意软件即服务（MaaS）分发恶意 APK 包，冒充在线预订、计费和快递服务。 博通公司旗下的赛门铁克公司在一份公告中提到，该恶意软件 的目标是从受害者的设备上窃取银行信息、短信和其他机密信息。 麦克菲实验室对此进行了进一步研究说明，称该恶意软件已被嵌入到了 800 多个应用程序中。并且有超过 3700 台安卓设备已被入侵。麦克菲实验室称是一个名为 Elvia Infotech的印度网络组织开发了这种 MaaS 服务。 骗子通常会通过电话、短信、电子邮件或社交应用联系受害者，告知他们需要重新为其安排银行账户服务。这种欺诈攻击是一种典型而有效的欺诈方法。 受害者会被要求下载一个特定的应用程序，并提交个人信息。一旦这些信息落入骗子手中，他们就可以轻松地从受害者的银行账户中窃取资金。   转自Freebuf，原文链接：https://www.freebuf.com/news/396732.html 封面来源于网络，如有侵权请联系删除

2023年11月，ThreatFabric的研究人员发现Anatsa银行木马复苏，该木马也被称为TeaBot或Toddler。在11月到2月之间，该银行木马共发起五波不同的攻击浪潮，每一波都针对不同区域。 在这之前，Anatsa主要针对英国、德国和西班牙，但最新的活动目标是斯洛伐克、斯洛文尼亚和捷克等国家，这表明其运营策略发生了变化。 研究人员认为，Anatsa的行为是“有针对性的”，且最近的攻击主要集中3到5个区域。 据ThreatFabric所述，这些滴管式应用程序（dropper applications）被上传到了目标地区的Google Play商店，并且能在“最新免费应用”分类中跻身前三名，容易让用户误以为这是一款合法且被众多用户下载的应用。 在这场攻击活动中，Anatsa的作案手法已经演变，采取了更高级的策略，包括滥用Android辅助功能服务、实施多阶段感染，并成功绕过了Android 13版本中的安全限制。 一些滴管应用能够有效利用辅助功能服务，绕过Google Play商店的强化检测与防护措施。为了避免被检测到，这些滴管应用分步骤实施策略，能够从其C2（指挥与控制）服务器动态获取配置和恶意文件。 报告进一步指出，这场攻击行动中所有滴管应用都已具备绕开Android 13对辅助服务限制设置的能力。Anatsa支持Android银行木马的常见功能，像其他类似的恶意软件家族一样，滥用辅助功能服务。 以下是该恶意软件实施的功能列表： 能够对多个银行应用发起覆盖攻击（Overlay Attacks），窃取登录凭证和信用卡信息 能够发送/截取/隐藏短信 启用键盘记录功能 能够窃取谷歌验证器的验证码 能够通过辅助服务和实时屏幕共享功能，获得对安卓设备的完全远程控制权 Anatsa银行木马允许操作者接管被感染的设备，并代表受害者执行操作。那么，有效检测和监控恶意应用，并观察客户账户的异常行为，对于识别和调查与Anatsa这类接管型移动恶意软件相关的潜在欺诈案件至关重要。     转自Freebuf，原文链接：https://www.freebuf.com/news/392076.html 封面来源于网络，如有侵权请联系删除

“只要在APP中输入手机号码，就能知道对方的定位，你还不赶紧下载？”家住南通市崇川区的王先生在某短视频平台刷到这样的广告不由心动，于是通过广告的链接下载了该款APP。当王先生想使用手机号码定位功能时，APP提示需要充值成为会员才能使用。于是他充值118元成为了会员，但是当他输入对方手机号码想使用定位功能时，APP却又弹出界面显示“双方均安装该APP并且添加好友对方同意后才能显示对方位置”。王先生才意识到自己被骗了，立刻报警。10月10日，南通崇川法院发布了这起案件。 2020年12月起官某、黄某等人利用公司员工、朋友身份等信息在深圳市注册多家公司，将公司营业执照用于上架多款定位类、数据恢复类APP。上述公司上架了“闪电定位”7款定位类APP，核心功能为用户下载后需付费使用，且对方也必须下载该APP，授权同意后，用户方可输入手机号定位对方，即使用该类定位APP的前置条件为“定位需要双方下载授权同意”。上述公司还在市场上架“数据恢复王”3款数据恢复APP，核心功能为用户下载后需付费使用，仅可恢复用户有备份或缓存的数据，即使用该数据恢复类APP的前置条件为“用户需对数据有备份或缓存才可进行恢复”。 “现在，大家不管是工作还是生活都离不开手机，手机里存储的电子数据信息、文件要是被删除，影响很大，都急于恢复；还有一部分人出于各种目的，想知道他人的具体位置，跟踪定位的市场需求也很突出。”案发后，官某供述开发定位类和数据恢复类APP的“灵感”。 官某等人明知APP并不具备无前置条件定位及数据恢复功能的情况下，依旧对上述APP进行开发、维护，在推广、宣传时使用的图片、视频中，将前置条件的提示语置于隐蔽地方，且使用的字体较小，引诱被害人下载并充值。他们将APP客服设置成自动回复等方式，拒不给发现被骗的被害人退款。 涉案APP因投诉被市场下架后，官某等人对涉案APP更换马甲重新上架，以此继续通过同样手段实施诈骗。他们分工合作，逐渐形成了包括APP源代码开发、封装上架、推广宣传、应对投诉在内的一条完整产业链，采取上述方式共计骗得人民币4795万余元。 官某供述：“我们的收费标准一般是几十块钱，最多一百块钱出头，不算多，大部分人发现被骗了也懒得追究。”还有一个重要原因是，很多被害人下载定位类APP的动机不纯，想用这种软件实施盯梢、窥探隐私等违背道德和法律的行为，所以即使发现被骗也只能“哑巴吃黄连”。 崇川法院经审理认为，官某等人利用虚假广告的方法行为实施诈骗，数额特别巨大，应当以诈骗罪定罪处罚，最终判处官某等人有期徒刑十二年到五年不等。  转自安全圈，原文链接：https://mp.weixin.qq.com/s/Dd0IwQfxQG4EIxRg6zJX-w 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 自2023年6月下旬以来，一种名为MMRat的安卓银行木马被发现瞄准东南亚的移动用户，远程控制设备并进行金融欺诈。 该恶意软件以其独特的软件包名称com.mm.user命名,它可以捕获用户输入和屏幕内容，还可以通过各种技术远程控制受害者设备，使其操作员能够在受害者的设备上进行银行欺诈。”Trend Micro公司表示。 MMRat的与众不同之处在于，它使用了一种基于协议缓冲区(又名protobuf)的定制命令与控制(C2)协议，可以有效地从受感染的手机传输大量数据。这表明安卓恶意软件变得越来越复杂了。 根据网络钓鱼页面中使用的语言，该软件可能的目标包括印度尼西亚、越南、新加坡和菲律宾。 MMRat通常伪装成官方政府或约会应用作为它的攻击的入口点，目前尚不清楚受害者是如何被引导到这些链接的。 这款应用严重依赖Android辅助服务和MediaProjection API，而这两种API都被另一款名为SpyNote的Android金融木马所利用。恶意软件还能够滥用其访问权限来授予自己其他权限和修改设置。 紧接着，它会进一步设置持久性，以便在重新启动之间存活下来。然后MMRat会启动与远程服务器的通信以等待指令，并将这些命令的执行结果传回给远程服务器。该木马利用不同的端口和协议组合来实现数据泄露、视频流和C2控制等功能。 MMRat具有收集广泛的设备数据和个人信息的能力，包括信号强度、屏幕状态、电池状态、安装的应用程序和联系人列表。人们怀疑，在进入下一阶段之前，攻击者会利用这些细节来进行某种形式的受害者侧写。 攻击结束后，MMRat会收到C2命令UNINSTALL_APP并删除自己。这通常发生在成功的欺诈交易之后，可以有效地从设备中删除所有感染痕迹。 为了减轻这种强大的恶意软件带来的威胁，建议用户只从官方来源下载应用程序，仔细审查应用程序评论，并在使用前检查应用程序请求访问权限。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文