Gate 新聞訊息,4 月 25 日——網路安全公司 Zimperium 已識別出 4 種活躍的惡意程式家族——RecruitRat、SaferRat、Astrinox 與 Massiv——針對 800 多款應用程式,涵蓋銀行、加密貨幣與社群媒體等領域。該等攻擊採用先進的反分析技術與結構性 APK 篡改,以在針對傳統基於特徵碼的安全機制時維持近乎零的偵測率。
攻擊者使用釣魚網站、詐騙工作邀約、偽造軟體更新、簡訊詐騙與宣傳誘餌,誘騙使用者安裝惡意的 Android 應用程式。安裝後,惡意程式會請求「輔助功能」權限,以隱藏應用程式圖示、阻止解除安裝嘗試,並透過偽造的鎖定畫面竊取 PIN 碼與密碼;它還會攔截一次性密碼(OTP)、錄製裝置的即時螢幕畫面,並在合法的銀行或加密貨幣應用程式上方疊加偽造的登入頁面。
覆蓋(Overlay)攻擊是憑證蒐集策略的核心。惡意程式會透過「輔助功能服務」監控前景,並在受害者啟動金融應用程式時進行偵測,接著會擷取惡意的 HTML 負載,並將其疊加到合法介面上,形成令人信服的欺騙外觀。
該等攻擊使用 HTTPS 與 WebSocket 通訊,將惡意流量與正常應用程式活動混合;部分變種還會採用額外的加密層,以進一步躲避偵測。
