研究人员警告伊朗用户广泛存在短信钓鱼活动

社交工程短信被用来在安卓设备上安装恶意软件，这是一场广泛的网络钓鱼活动的一部分。该活动模仿伊朗政府和社会安全服务机构，盗取信用卡详细信息，并从受害者的银行账户中窃取资金。

与银行恶意软件的其他变体不同，银行会在受害者不知情的情况下发起覆盖攻击以捕获敏感数据，Check Point Research发现的这一出于财务动机的行动旨在通过向目标发送一条看似合法的短信，其中包含一个链接，当点击该链接时，会将一个带有恶意软件的应用程序下载到他们的设备上，从而诱骗目标交出他们的信用卡信息。

Check Point研究人员Shmuel Cohen在周三发布的一份新报告中说：“该恶意应用程序不仅收集受害者的信用卡号，还可以访问他们的2FA认证短信，并将受害者的设备变成一个机器人，能够向其他潜在受害者传播类似的钓鱼短信。”。

这家网络安全公司表示，他们发现了数百种不同的安卓网络钓鱼应用程序，伪装成设备追踪应用程序、伊朗银行、约会和购物网站、加密货币交易所和政府相关服务，这些僵尸网络作为“随时可用的移动竞选工具包”在电报频道上出售，价格在50美元到150美元之间。

伊朗司法部门发出虚假通知，敦促用户审查针对消息接收者的所谓投诉，这条虚假僵尸网络的感染链由此开始。投诉链接将受害者引导到表面上看起来像政府网站的地方，要求他们输入个人信息（如姓名、电话号码等）并下载安卓APK文件。

一旦安装，流氓应用程序不仅会请求入侵权限，以执行通常与此类政府应用程序无关的活动，还会显示一个仿效该国电子司法通知系统Sana的假登录屏幕，并提示受害者需要支付1美元的费用才能继续。

选择这样做的用户随后会被重定向到一个虚假的支付页面，该页面会收集输入的信用卡信息，而安装的应用程序则充当一个秘密后门，可以秘密窃取信用卡公司发送的一次性密码，并为进一步的盗窃提供便利。

此外，该恶意软件还具有丰富的功能，可以将设备接收到的所有SMS消息过滤到攻击者控制的服务器，在主屏幕上隐藏其图标，以阻止删除应用程序的尝试，部署额外的有效负载，并获得类似蠕虫的能力，以扩展其攻击面，并将自定义的伪装信息传播到从服务器检索到的电话号码列表中。

科恩解释说：“这样一来，参与者就可以从典型用户的电话号码而不是集中的地方分发网络钓鱼信息，而且不局限于一小部分容易被屏蔽的电话号码。”。“这意味着从技术上讲，不存在可被电信公司屏蔽或追踪到攻击者的‘恶意’号码。”

更糟糕的是，该操作背后的攻击者被发现遵循较差的操作安全性（OPSEC），从而使任何第三方都可以自由访问其服务器上托管的电话号码、联系人、短信以及所有在线机器人的列表。

科恩指出：“盗取2FA动态代码可以让演员缓慢但稳定地从受害者的账户中提取大量资金，即使是在由于银行限制，每个不同的操作可能只能获得几十美元的情况下。”。“再加上‘僵尸网络即服务’的商业模式很容易被采用，安卓系统的此类应用程序的数量以及销售它们的人数的增长也就不足为奇了。”