行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
木马缩放应用程序针对远程办公者
2020-04-02 18:22:01 【

重新包装的Zoom视频会议应用程序的恶意版本针对具有广告软件和特洛伊木马程序的在家工作的Android用户,Bitdefender报告。

在当前的COVID-19大流行迫使他们在家中工作时,许多人正在使用Zoom来与同事和其他与他们保持联系的人保持联系,网络罪犯利用这种情况诱骗人们下载恶意程序。

在过去的几周中,缩放倍受关注,这不仅是因为使用量激增,还因为影响其及其用户的各种安全和隐私问题

尽管如此,仍有数百万人将其用于视频会议,网络犯罪分子将其视为进行恶意活动的机会。

Bitdefender 透露一种攻击类型涉及使用重新包装的Zoom克隆,这些克隆通过第三方市场进行分发。观察到的样本仅针对侧加载应用程序但从未将其加载到Google Play的用户。

经过重新打包的程序之一具有与原始应用程序相同的用户界面,还保留了与原始应用程序相同的程序包名称,并且证书详细信息几乎相同。

该软件旨在从其命令和控制基础结构中的tcp [:] // googleteamsupport [。] ddns.net:4444下载有效负载

该域是“动态DNS服务,它允许具有动态IP地址的用户将其映射到子域,因此即使动态IP地址发生更改,他们也可以不中断地提供服务,” Bitdefender解释说。

该安全公司能够将子域链接到sweetman2020 [。] no-ip [。] biz,后者被用作Android远程访问特洛伊木马(RAT)的C&C服务器,称为SandoRAT和DroidJack。

观察到另一个注入的Zoom应用程序专门针对中国用户。安装后,该应用会请求电话,位置和照片权限。该软件旨在向受害者显示广告,但仅持续一秒钟。

Bitdefender说,第三个试图模拟Zoom的恶意样本针对美国的Android用户。名为ZOOM Cloud Meetings的应用程序在执行后会从菜单中隐藏起来,然后发出重复警报,该警报会随机向广告服务发送意图以打开广告。

然后,恶意应用会检查资产中的硬编码字符串(称为“ admin”),并询问该字符串是否为管理员权限。如果不是,它将在启动时尝试下载另一个文件。

该示例可以要求英语或俄语的设备管理员权限,具体取决于设备的默认语言。Bitdefender说,它还可以在设备开机时自行启动。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇研究人员发现新型Windows漏洞 下一篇VPN服务如此重要的5个原因

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800