多功能恶意软件RedDrop来袭 窃取隐私、偷窃钱财都不是事儿
一款名为RedDrop的新型Android恶意软件可以执行多种恶意操作,包括录制附近的音频并将数据上传到攻击者的Dropbox和Google Drive云存储帐户中,以为进一步的攻击或者勒索做准备。
这款恶意软件最初是由英国移动安全公司Wandera的研究团队发现的,他们在几家全球咨询公司的员工所使用的手机中发现了至少有53款感染了RedDrop的恶意应用程序正在泄露这些Android智能手机用户的敏感数据。
尽管RedDrop所拥有的一系列令人印象深刻的入侵功能,可以让我们将其归类为间谍软件。但事实证明,网络间谍活动只是RedDrop的一部分,并且它主要被用于利用受感染设备向增值服务号码发送短信,从而使其开发人员获利。
恶意软件主要在中国地区活跃
研究表明,RedDrop的受害者主要集中在中国。CISSP培训由于中国没有官方的Google Play商店,因此Android智能手机用户通常会依靠搜索引擎来查找应用程序,而这正是RedDrop的主要分发途径。
研究人员解释说,RedDrop的开发人员首先将其恶意广告引入到搜索引擎中,当用户使用百度进行搜索时可能就会遇到这些“陷阱”。当用户点击这些恶意广告时,将会被重定向到多个域名,直到他们登录到第三方应用商店。
研究人员表示,RedDrop的开发人员利用了超过4000个域的内容分发网络(CDN)来传播用于分发RedDrop的恶意应用程序。这样做的主要目的,很可能是为了混淆恶意软件的来源,使安全团队难以发现威胁的来源CISSP培训。
恶意软件可执行多种恶意操作
通过对RedDrop驱动器的静态和动态分析,Wandera的研究团队发现了一种机制,其中7个附加安装包(APK)将从C&C服务器静默安装到受感染设备上,这为RedDrop提供了多个附加功能。
首先,RedDrop应用程序在解压时会释放恶意嵌入文件,然后编译这些文件以启动恶意功能。这些文件位于下面展示的应用程序资产文件夹中:
在安装完成后,RedDrop会立即从不同的C&C服务器下载其他组件(APK和JAR文件),并将其动态存储到受感染设备的内存中。这种技术允许攻击者悄悄地执行额外的恶意APK,而不必将它们直接嵌入到初始程序中。
有意思的是,RedDrop的间谍功能主要被用于监视用户是否在受感染设备周围,以便启动其他恶意功能。另外,RedDrop会窃取许多关键数据并存储到各种服务器和云存储服务中。这些数据可能包括:本地保存的的文件(如联系人、照片、屏幕截图等)、设备周围的现场录像、设备相关信息(如IMEI、IMSI等)、SIM相关信息(如MNC、MCC等)、应用数据以及附近的WiFi网络等。
恶意应用CuteActress用于偷取“钱财”
正如文章最开始提到的那样,CISSP培训Wandera的研究团队至少发现了53款恶意应用被用于分发RedDrop的有效载荷,而CuteActress就是其中之一。
从表面上看,CuteActress是一款以成人内容为主题的游戏应用,就如刮奖游戏一样,用户必须摩擦屏幕才能看清图片中女性的穿着。
研究人员表示,在用户每次摩擦屏幕被时,CuteActress都在偷偷地向增值服务号码发送短信。当用户正玩得不亦乐乎时,搞不好一套三居室的房子就这样玩没了。
研究人员建议,各位Android设备用户有必要更改设备的设置,以禁止第三方下载,尤其是不要ROOT设备。另外,在安装某个应用程序之前,留意应用程序请求的权限同样必要。最后,保持设备系统及时更新以及使用防病毒软件会让你免除很多不必要的麻烦。