方明

網(wǎng)絡(luò)犯罪分子正竭盡全力從冠狀病毒大流行的混亂中受益，他們誘騙用戶的陷阱是發(fā)布偽裝成COVID-19最新消息的惡意間諜程序。

網(wǎng)絡(luò)安全研究人員在2020年3月底發(fā)現(xiàn)了正在進(jìn)行的網(wǎng)絡(luò)間諜活動，他們將其命名為Project Spy。根據(jù)評估，通過Project Spy，攻擊者正在利用冠狀病毒的緊張形勢傳播Wabi Music，Concipit 1248，Concipit Shop等應(yīng)用程序，其在用戶不知情的情況下，讓間諜軟件感染Android和iOS設(shè)備。

這些間諜程序會在應(yīng)用程序執(zhí)行功能時截取信息，包括竊取Telegram，WhatsApp，Threema，F(xiàn)acebook的數(shù)據(jù)。

此外，它還可以收集語音信息、通話記錄和聯(lián)系信息，敏感的設(shè)備信息（例如設(shè)備ID、IMEI編號、制造商、硬件型號、引導(dǎo)程序、標(biāo)簽、主機(jī)、應(yīng)用程序和操作系統(tǒng)版本）。

另外還有圖像、SIM卡信息（包括MCC-移動國家/地區(qū)、MCI操作員代碼、SIM卡序列號甚至手機(jī)號碼。

此外，它會向攻擊者上傳WiFi信息，包括MAC地址，SSID和WiFi速度，以及來自移動設(shè)備的其他數(shù)據(jù)，例如指紋、日期，并會對信息進(jìn)行修改。

該應(yīng)用程序當(dāng)前針對印度、巴基斯坦、孟加拉、阿富汗、伊朗、俄羅斯、沙特阿拉伯、羅馬尼亞和格林納達(dá)的Android和iOS用戶。

由于該活動利用其后端服務(wù)器的登錄頁面而被稱為Project Spy，它通過利用通知權(quán)限來訪問通知內(nèi)容并將其存儲到攻擊者的數(shù)據(jù)庫中，從應(yīng)用程序中竊取消息。

要訪問其他存儲，則會要求用戶的許可。該應(yīng)用程序的編碼風(fēng)格非常業(yè)余，這也許就是為什么下載數(shù)量相對較低的原因。研究人員聲稱，該應(yīng)用似乎正處于孵化階段。

防治方法一：建議用戶下載前，先查看應(yīng)用程序的顯示和文本、聲明的功能、其他用戶的評論以及所請求的權(quán)限。研究人員在其博客文章中建議，請確保已安裝所有其他應(yīng)用程序和設(shè)備操作系統(tǒng)為最新版本。

另一方面，Pradeo Lab的IT安全研究人員還發(fā)現(xiàn)了誤導(dǎo)性的Wallpaper應(yīng)用程序，該應(yīng)用程序于2020年2月發(fā)布，到目前為止，該應(yīng)用程序的多個版本已經(jīng)發(fā)布。該應(yīng)用程序聲稱可提供針對冠狀病毒的防護(hù)信息。

該信息是從許多知名新聞服務(wù)機(jī)構(gòu)復(fù)制的，例如約翰·霍普金斯大學(xué)、雅虎新聞社和世界衛(wèi)生組織（WHO）。

犯罪分子的假冒應(yīng)用程序還有一個名為“主題”的選項(xiàng)卡，它是應(yīng)用程序開發(fā)人員的真正游戲規(guī)則改變者，主題部分在那里推廣免費(fèi)和付費(fèi)墻紙主題。

下載應(yīng)用后不久，用戶開始收到有關(guān)新墻紙主題的通知，其主要目標(biāo)在所有版本中均保持不變，而每個新版本均進(jìn)行了細(xì)微調(diào)整，以進(jìn)一步誘導(dǎo)用戶進(jìn)行下載。

因此，可以理解的是，該應(yīng)用程序僅是一種嘗試，以促進(jìn)應(yīng)用程序的下載，并通過推廣應(yīng)用程序和付費(fèi)主題產(chǎn)生直接利潤；另一個目標(biāo)是提高應(yīng)用程序在商店中的排名。

這不是黑客第一次使用冠狀病毒傳播惡意軟件感染或欺騙毫無戒心的用戶。目前，假的冠狀病毒疫苗在暗網(wǎng)上出售的情況并沒有終止，實(shí)際上，還建立了偽造的病毒傳播實(shí)時地圖，將惡意軟件傳播到全球。