2023 年 9 月 13 日

Doctor Web 发现 Android.Spy.Lydia 木马家族出现新版本，这些木马可在被感染的安卓设备执行多种间谍功能，并且能让不法分子远程控制这些设备，窃取个人信息和金钱。 同时，这些木马具有保护机制，会检查是否是在模拟器或测试设备启动。一旦发现这种情况木马就会停止运行。

木马通过伪装成金融网站的恶意网站进行传播，例如在线交易所，不法分子设计这些网站主要针对的是伊朗居民。 此类站点的一个示例是 hxxp[:]//biuy.are-eg[.]com/dashbord。

潜在的受害者访问网站后会被要求输入个人数据：姓氏、名字、父名、手机号码和身份证号码。 输入所需信息后，设备会打开页面 hxxp[:]//biuy.are-eg[.]com/dashbord/dl.php，通知进行交易需下载并安装专门软件。 然而，点击下载按钮后，受害者加载的并不是预期的正常程序，而是 Android.Spy.Lydia.1木马的一个变种。

启动后，木马会从 hxxp[:]//teuoi[.]com 网站得到钓鱼网站的链接，然后不启动浏览器，而是通过 WebView组件在设备屏幕显示网站。 我公司技术人员得到的恶意软件版本打开的链接是：hxxps[:]//my-edalatsaham[.]sbs/fa/app.php。

WebView加载的钓鱼网页截图：

这是用于输入国民身份证号码的表格，不法分子谎称随后将按照此号码进行“股息支付”。 在这一步木马会将识别码以及设备已被感染的信息发送到控制服务器。

感染后，木马通过WebSocket协议连接到远程主机ws[:]//httpiamaloneqs[.]xyz:80，并等待接收会同时发送到所有已感染设备的指令。每一指令都配备有其目标设备的识别码。 下面的截图显示的是 C&C 服务器发送到僵尸网络的指令。

Android.Spy.Lydia家族木马能够执行以下功能：

• 收集设备已安装应用的相关信息
• 在应用列表隐藏或显示自己的图标
• 关闭设备声音
• 将短信内容传输到服务器或指定号码
• 将剪贴板内容传输到服务器
• 向指定号码发送任意内容的短信
• 将电话簿中的联系人列表传输到服务器
• 向电话簿添加新的联系人
• 使用WebView组件加载指定的网站

这些功能能够让不法分子通过木马拦截 SMS 消息、确定潜在受害者使用哪些银行应用程序并实施诈骗。 例如，犯罪分子可以读取银行短信，获取有关帐户余额和交易的详细信息，从而能够在进行诈骗时轻易获得用户信任。 此外，利用A2P技术（从应用程序发送短信）和短信转发协议中的漏洞，诈骗者可以假冒银行发送虚假消息，要求用户采取某些使银行账户的安全面临风险操作。 读取受害者的通讯信息后，诈骗者可以假冒其认识人来“借钱”、求助支付账单等。而且这些木马盗窃账户相关信息后可以让不法分子绕过双重素身份验证，获得对银行账户的掌控权。

这种类型的攻击正在迅速蔓延：根据俄罗斯央行的数据，2023 年第二季度非法交易量增加了 28.5%。 在此期间，攻击者共窃取了 36 亿卢布。

Doctor Web 提醒不要从可疑来源下载软件，在意外收到来自银行和其他组织的电话或消息时需谨慎行事。 此外，我们强烈建议您安装反病毒软件。

用于保护安卓设备的反病毒软件Dr.Web Security Space能够侦测 Android.Spy.Lydia家族木马并解除其威胁，保护用户的设备，防止个人信息和账号被窃。

失陷指标

Android.Spy.Lydia.1 更多详情