CheckPoint 發現了一種名為 FluHorse 的感染 Android 設備的惡意軟件“變種”研究(通過BleepingComputer) 該惡意軟件通過電子郵件傳播,將竊取信用卡數據、密碼,甚至雙因素授權 (2FA) 代碼。自 2022 年以來在東亞發現了這些攻擊,通常以向潛在受害者發送一封電子郵件開始,要求立即付款以解決帳戶問題。該電子郵件包含一個鏈接,該鏈接將受害者帶到假冒的合法版本應用。這些虛假應用程序包括台灣的收費應用程序 ETC 和越南的銀行應用程序 VPBank Neo。每個應用程序的真實版本在 Google Play 商店中的安裝量均超過 100 萬。 CheckPoint 還發現,還使用了一款安裝量為 100,000 的真實交通應用程序的假冒版本,但該應用程序未被命名。
被 FluHorse 惡意軟件模仿的應用程序。圖片來源 CheckPoint Research
為了劫持發送的任何 2FA 代碼,這三個應用程序請求 SMS 訪問權限。借助 2FA,用戶可以通過輸入密碼和通過短信發送到用戶手機的特殊代碼來打開應用程序或網站。虛假應用程序複製了真實應用程序的用戶界面,但除了收集包括信用卡數據在內的用戶信息外,並沒有做太多事情。然後,為了讓它看起來好像正在進行一些真正的處理,屏幕會顯示“系統正忙”10 分鐘。真正發生的是 2FA 代碼與個人信息一起被盜。
根據 CheckPoint 的說法,這對 Android 用戶來說是一個活躍且持續的威脅,最好不要洩露個人信息,例如信用卡號和社交信息在線安全號碼。僅僅因為在世界不同地區發現了這種有組織的攻擊,並不意味著您在保護您的個人數據方面應該鬆懈。
