4月25日——网络安全公司 Zimperium 已识别出四个处于活跃状态的恶意软件家族——RecruitRat、SaferRat、Astrinox 和 Massiv——它们正针对银行、加密货币和社交媒体领域的 800 多个应用。这些活动采用先进的反分析技术以及对结构化 APK 的篡改,以在针对传统的基于特征码的安全机制时维持近乎零的检测率。

攻击者使用钓鱼网站、虚假工作邀约、伪造的软件更新、短信诈骗和促销诱饵来诱骗用户安装恶意的 Android 应用。安装后,恶意软件请求辅助功能权限,以隐藏应用图标、阻止卸载尝试、通过伪造的锁屏来窃取 PIN 码和密码、拦截一次性验证码、录制设备的实时屏幕,并在合法的银行或加密应用之上叠加伪造的登录页面。

叠加攻击构成凭证窃取策略的核心。恶意软件使用辅助功能服务监视前台,并在受害者启动金融应用时进行检测,随后获取恶意的 HTML 载荷,并将其叠加到合法界面之上,以打造令人信服的欺骗性假象。

这些活动使用 HTTPS 和 WebSocket 通信,将恶意流量与正常应用活动混合;部分变体还采用额外的加密层,以进一步规避检测。