伪装成谷歌、Instagram、Snapchat、WhatsApp和Twitter(现在是X)的恶意Android应用程序,从受感染的设备中窃取用户凭据。SonicWall Capture Labs威胁研究小组在最近的一份报告中指出,这些恶意软件利用知名的Android应用程序图标来误导用户,并诱使受害者在其设备上安装恶意应用程序。
具体传播方式目前尚不明确,但一旦安装在用户手机上,这些应用程序会要求授予辅助功能服务和设备管理员API的权限。这些权限使得恶意应用程序可以控制设备,执行从数据盗窃到恶意软件部署等任意操作。
恶意软件旨在与命令和控制(C2)服务器建立连接,以接收执行命令,允许其访问联系人列表、短信、通话日志、已安装应用程序列表,发送短信,打开网络钓鱼页面,并控制相机手电筒。网络钓鱼URL模仿了Facebook、GitHub、Instagram、LinkedIn、Microsoft、Netflix、PayPal、Proton Mail、Snapchat、Tumblr、X、WordPress和Yahoo等知名服务的登录页面。