间谍软件通过虚假自然灾害警报传播

网络安全研究人员发现，恶意软件正通过虚假火山喷发警报传播至安卓设备。

意大利网络安全公司 D3Labs 于 10 月 16 日发布了关于该恶意软件的博客。他们发现恶意攻击者正在利用 IT-Alert 服务——意大利政府用于在紧急情况（如自然灾害）下向公民传播关键信息的新公共警报系统。

为了诱骗毫无戒备的受害者下载恶意软件，攻击者创建了一个冒充 IT Alert 的网站，显示“由于火山可能喷发，可能发生全国性地震。下载应用程序以关注所在地区是否会受影响”。这个虚假网站仅针对安卓用户，如果通过桌面浏览器或 iOS 设备访问，网站会重定向到真正的 IT Alert 网站。

当受害者点击下载按钮时，一个标记为 IT-Alert.apk 的文件会被下载到其设备上。该文件包含 SpyNote 恶意软件。这种恶意软件主要针对金融机构，通常由其使用别名 CypherRat 的创建者通过 Telegram 出售。

通过提示用户允许应用程序在后台运行，恶意攻击者能够通过设备的无障碍服务获得对受害者智能手机的完全控制。这使得攻击者能够“监控、管理和修改设备的资源和功能，以及具备远程访问能力”。这种技术还使受害者“卸载应用程序、更新已卸载的应用程序或安装新应用程序”更加困难。

SpyNote 还可以独立使用应用程序内的按钮，访问设备的摄像头，从设备中提取个人信息，并将这些信息连同受感染设备的图片和视频发送到其命令与控制中心。这使得恶意攻击者能够监视用户。

恶意攻击者还能够获取用于双因素认证（2FA）的代码，并窃取银行应用程序和社交媒体的登录凭证。这是通过启动一个看起来像合法服务的虚假应用程序，并提示受害者输入其登录凭证来实现的。

安卓设备官方应用商店 Google Play 的运营商谷歌的一位发言人告诉 BleepingComputer，“在 Google Play 上未发现包含[SpyNote]的应用程序”。

该发言人还表示：“谷歌在该报告发布之前已针对此间谍软件实施了用户保护措施。用户受到 Google Play Protect 的保护，它可以在具有 Google Play 服务的安卓设备上警告用户或阻止已知表现出恶意行为的应用程序。”更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享