一场复杂的网络犯罪活动已出现,其针对印度尼西亚和越南的安卓用户,利用伪装成合法政府身份应用程序和支付服务的银行木马进行攻击。
这一恶意操作自2024年8月左右开始活跃,它采用先进的规避技术来传播BankBot木马家族的变种,同时维持着一个包含100多个域名的庞大基础设施。
这些威胁行为者通过使用伪造的谷歌应用商店页面以及政府服务应用(如M-Pajak税务支付服务和数字身份验证系统),展现出了极高的操作复杂性。
该活动利用用户对官方政府平台的信任,创建极具说服力的仿制品,诱骗受害者下载包含银行木马的恶意APK文件,这些木马能够窃取敏感的财务信息和凭证。
DomainTools的分析师通过监控与伪造的谷歌应用商店网站相关的可疑站点元素,识别出了这种恶意软件的分发模式。
研究人员发现了一种复杂的交付机制,其设计目的是绕过传统的网络安全控制,并避开网络安全框架中常用的自动检测系统。
基于WebSocket的高级传输机制
威胁行为者采用了一种极为复杂的恶意软件交付系统,该系统利用WebSocket技术规避传统的安全措施。
这些恶意网站没有提供安全扫描器容易检测到的直接下载链接,而是利用Socket.IO库在受害者浏览器和命令服务器之间建立实时双向通信通道。
当用户点击安卓下载按钮时,系统会使用命令socket. Emit('startDownload', …)启动一个WebSocket连接。
服务器的响应方式是将恶意APK文件以分片的形式传输,而非作为完整文件进行传输。
浏览器通过编码为socket. On('chunk', (chunk) => { chunks. Push(chunk); });的事件监听器收集这些片段,同时接收进度更新,以维持合法下载过程的假象。
完成后,系统会将内存中接收到的所有数据块组合起来,并分配MIME类型application/vnd.android.package-archive,以创建正确的APK文件结构。
然后,该交付机制会生成一个临时的本地URL,并通过程序触发一个不可见的下载链接,从而调出浏览器的标准文件下载界面。
这一复杂过程有效地将恶意软件分发伪装成加密的WebSocket流量,使得恶意载荷能够绕过配置为阻止直接APK下载的网络安全系统,同时对那些通过爬取网站寻找恶意链接的基于静态URL的安全扫描器保持隐蔽。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
