HackerNews 编译，转载请注明出处： 移动安全公司 Zimperium 发布警告称，威胁行为者利用超过 1000 款恶意应用窃取了印度数万名安卓用户的信息。 此次名为 FatBoyPanel 的恶意活动，通过使用实时电话号码进行短信重定向，而非传统的命令与控制（C&C）服务器来窃取一次性密码（OTP），这一点与典型的移动端恶意活动有所不同。据 Zimperium 称，此次攻击由单一威胁行为者发起，该行为者使用了大约 1000 个电话号码来收集用户信息。该公司还发现了大约 900 个与该活动相关的恶意软件样本，主要针对印度银行的用户。 “对收集到的样本进行分析后，我们发现这些样本具有相似的代码结构、用户界面元素和应用标识，这表明这是单一威胁行为者针对运行安卓操作系统的移动设备所进行的协调攻击，”Zimperium 在一份研究笔记中表示。 该公司表示，他们发现了 220 多个公开可访问的 Firebase 存储桶，威胁行为者在其中存储了 2.5GB 的信息，包括银行短信、银行卡和银行详细信息以及政府身份证数据，并估计有 5 万名用户受到了影响。 该活动依赖于 WhatsApp 来传播伪装成政府或银行应用的 APK 文件，但实际上这些文件会安装恶意软件，诱骗用户泄露敏感信息。“恶意软件利用短信权限拦截和窃取短信，包括一次性密码（OTP），从而实现未经授权的交易。此外，它还采用隐身技术隐藏图标并抵抗卸载，确保在受感染设备上的持久存在，”Zimperium 说。 该公司表示，恶意应用通过截获并转发短信、将窃取的短信发送到充当 C&C 服务器的 Firebase 数据库，或结合这两种技术来窃取受害者信息。 应用中嵌入了硬编码的电话号码，用于窃取一次性密码（OTP）和短信，“这表明这些号码要么直接由攻击者控制，要么属于受他们控制的被攻破的个人，”Zimperium 还发现，存储被盗信息的 Firebase 数据库缺乏身份验证机制，这意味着任何人都可以访问这些数据库，从而暴露了管理员的详细信息和用于窃取信息的电话号码。 通过访问攻击者的管理仪表板，Zimperium 发现了攻击中使用的电话号码，并得出结论，这使得多个用户可以操作该活动。Zimperium 追踪到这些硬编码的电话号码与印度的特定地区有关，如西孟加拉邦、比哈尔邦和贾坎德邦。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文