虚假联系人跟踪应用针对十个的移动用户

现在，由Anomali Threat Research(ATR)进行的新研究表明，至少有十个已成为虚假联系人跟踪应用程序的目标。

受该发现影响的地区包括亚美尼亚，，新加坡，哥伦比亚，尼西亚，，，吉尔吉斯斯坦，巴西和俄罗斯。而且，在某些情况下，一个以上的应用正在影响给定的区域。例如，一个应用程序模仿的Arrogyasetu，而另一个应用程序模仿Chhattisgarh 联系人跟踪应用程序。新加坡也有两个单独的实例。

在大多数情况下，有问题的应用似乎是在直接模仿政府资助的应用。但是它们似乎没有关联。相反，这似乎是来自多个团体或个人的机会主义恶意行为。实际上，每个用户似乎都在利用用户积极寻找联系人跟踪应用程序这一事实。这与攻击是任何单个团体或单个不良演员的工作相反。

在感染用户设备的12个应用程序中，有一半以上是Trojan型感染。剩下的恶意软件之一似乎是软件。

但是，新发现的四个威胁是建立在Anubis或Spynote上的。影响，巴西，俄罗斯和尼西亚的这四个构成了更为严重的威胁。

伪造的联系人跟踪应用程序已经够糟糕了，但是Anubis和Spynote是什么?

如上所述，Anubis和Spynote是ATR最近的研究发现的两个恶意软件家族。与其他群体相比，那些群体提出了一些独特的威胁。每个都提供特定的功能列表。但是在这方面有一些共同点。

两者都可以访问SMS消息，位置数据和联系人，但是Anubis跟踪“系统信息”，而Spynote则深入研究设备的识别信息。两者都可以记录电话。但是只有Spynote可以使用受害者的电话号码拨打电话，并且可以读取或写入消息以及联系方式。这就是应用程序相似性有效终止的地方。

Anubis可以进一步创建和部署自定义注入。这些主要针对用于信息收集的和社交媒体应用。它还执行键盘记录，访问权限并创建自定义覆盖图以窃取凭据。除此之外，Anubis的功能还允许其在启动时从应用程序抽屉中隐藏。因此用户甚至不一定知道它在那里。

相反，Spynote可以检查已安装的应用程序并安装新的应用程序。它还会检查浏览器历史记录，并可以泄漏文件。在后一种情况下，这意味着它将推送并保存从设备中取出的数据。最后，Spynote具有访问和捕获来自相机应用程序的照片的独特功能。

在巴西和俄罗斯发现了阿努比斯的行动。Spynote目前似乎仅限于尼西亚和，特别是模仿Arrogya Setu应用程序。在每种情况下，恶意应用程序都模仿政府赞助的联系人跟踪应用程序。

这些应用来自哪里?

不良行为者会利用全球大流行来窃取数据也就不足为奇了。它发生之前。但是各种假联系人追踪应用程序的确切来源尚不清楚。也许更令人担忧的是，目前尚不清楚应用程序的下载位置。

通常，这些类型的应用程序来自Android的内置应用程序市场-Google Play商店之外。这是因为除非用户选择退出，否则Play商店会自动扫描威胁。即使该名为Play Protect的工具无法捕获所有威胁，这也很有帮助。

在这里似乎也是如此。在突出显示为可能的嫌疑人的问题区域中，ATR并未列出Google的Play商店。取而代之的是，该公司认为该应用已被次要恶意应用下载或从各个网站进行了侧载。如上所述，这些应用似乎没有关联。

用户也有可能从第三方运行的应用程序市场下载软件。