潛伏在Google Play商店中的近500個惡意應用程序已經成功地在全球超過1億臺安卓設備上安裝了Dark Herring惡意軟件，該惡意軟件是一種會偷偷摸摸將其他收費項目添加到用戶的移動運營商業務上的軟件。

受害者數量龐大

Dark Herring惡意軟件是由Zimperium的一個研究小組發現的，他們估計該惡意活動竊取的金額已經過億，每個受害者每月要多花費15美元。谷歌此后從Google Play中刪除了所有的470個惡意應用程序，該公司表示目前詐騙服務已經停止，但已經安裝了這些應用程序的用戶可能在以后仍然會被攻擊。這些應用程序在第三方應用程序商店中也仍然可以被下載到。

世界各地的移動消費者，尤其是那些銀行服務并不完善的地區，都是依賴運營商直接計費(DCB)來進行支付的，這種方式會將非電信服務的費用添加到消費者的每月電話賬單中。這些特點對于攻擊者來說，這是一個非常好的攻擊目標。

報告解釋說，在這種情況下，額外收取15美元的費用不一定會讓終端用戶在短時間內注意到它，但在超過1億個賬戶中進行竊取，這樣就可以獲取大量的金額。

研究人員報告說："下載統計數據顯示，在全球范圍內，有超過1.05億臺安卓設備安裝了這種惡意軟件，它們成為了這一攻擊活動的受害者，可能會遭到不可估量的經濟損失。這個攻擊活動背后的網絡犯罪集團可能已經從這些受害者那里獲得了一個穩定的資金流，每月會產生數百萬的收入，被盜總金額可能達數億。"

報告說，該攻擊活動最早在2020年3月被發現，并一直持續到了去年11月。

分析師說，該詐騙軟件很可能是一個新興黑客團體開發進行攻擊的，因為它使用了新的技術和基礎設施。

分析師認為，Dark Herring能夠攻擊成功是各種策略相互作用的結果;他們還使用了地理定位，這樣應用程序就會為受害者提供母語來進行閱讀。

該團隊補充說："這種社會工程學的攻擊方式非常成功和有效，因為用戶通常更愿意用他們的本地語言從網站獲取信息。該攻擊活動的范圍非常大，通過改變應用程序的語言，針對70多個國家的移動用戶進行攻擊，并根據當前用戶的IP地址調整顯示的內容。"

分析人士指出，Dark Herring背后的攻擊集團還建立了470個高質量的應用程序，并且通過了官方應用程序商店的審核。這些應用程序的功能都與宣傳的一樣，而且分布在各種不同類別的應用程序中。

報告解釋說："能夠制作出大量的惡意應用程序并將其提交給應用程序商店，表明這是一個組織良好的團體。這些應用程序可能不僅僅是對其他應用程序的克隆，而且還能繞過傳統的安全工具集來對受害者進行攻擊"。

除了使用強大的基礎設施，Dark Herring在攻擊活動中還使用了代理來進行隱藏。而且由于應用程序的地理定位功能，還能夠縮小搜索范圍，尋找受害者。

例如，研究人員發現，攻擊者更傾向于針對那些對移動用戶保護力度不太嚴格的國家的用戶進行攻擊，包括埃及、芬蘭、印度、巴基斯坦和瑞典。報告說，由于DCB的性質，一些國家可能會由于電信公司設置的消費者保護措施而免受黑客的攻擊。

攻擊手法解析

研究人員說，在技術方面，一旦該安卓應用被安裝和啟動，一個托管在Cloudfront的Webview就會加載一個惡意的URL。然后，該惡意軟件會向該URL發送一個GET請求，該URL會發回一個響應，其中就包含了托管在亞馬遜網絡服務云實例上的JavaScript文件的鏈接。

該應用程序然后就會獲取這些資源，然后這些資源就會對設備進行感染，啟用地理定位功能。

根據分析，其中一個JavaScript文件會指示應用程序向"live/keylookup "API端點發出POST請求來獲得設備的唯一標識符，然后構建最終的一個URL。Baseurl變量被用來發出POST請求，其中就包含了該應用程序創建的唯一標識符，用來識別設備以及語言和國家的詳細信息。

最終的URL響應包含了受害者的配置信息，攻擊者會根據受害者的詳細信息來決定其下一步的攻擊行為。基于這個功能，受害者會收到一個移動網頁，要求他們提交他們的電話號碼來激活該應用程序(和DCB收費)。這個頁面中文本的語言、顯示的旗幟和國家代碼都是定制的。

報告說："證據還表明，惡意攻擊者在建設和維護基礎設施方面進行了大量的資金投入，這樣可以保持這個全球騙局高速的運轉。”

由于Dark Herring獲得了明顯的成就，Zimperium表示，這個網絡犯罪集團可能還會進行再次的攻擊。

本文翻譯自：https://threatpost.com/dark-herring-billing-malware-android/178032/