伪装成各种合法的应用，然后再通过Google Play或其他App Store将自己传播出去，是目前许多高级攻击经常采用的手段。之所以这种方法屡试不爽，就是因为受害者往往认为所有出现在Google Play或其他App Store上的应用，都是经过安全检查且值得信赖的。黑客就是利用这个心理，伪装成合法的游戏、视频等程序，来窃取信息或传播恶意有效载荷。

其中比较常见的有CPUMINER（挖矿软件），BankBot（银行持木马）和MilkyDoor（Milkydoor是2017年黑客开发的一款复杂程度较高的恶意软件，能将任何受感染的Android手机变成黑客工具）。不过最近，趋势科技的研究人员发现，有一个恶意软件不但把自己伪装成合法的应用，而且还应用了SmiShing技术，将潜在受害者重定向到恶意网页。

所谓的SmiShing，它是SMS和网络钓鱼（phishing）术语的组合，是指用类似于网络钓鱼的社会工程学技术实施犯罪行为的一种形式，利用SMiShing技术，移动用户会在短信或聊天应用程序中接收到钓鱼网站的链接，攻击者会通过这些短信来引诱用户点击链接并输入其个人信息。

目前，趋势科技的研究人员已经将该恶意软件命名为FakeSpy（趋势科技的分析样本为ANDROIDOS_FAKESPY.HRX），FakeSpy就是通过短信来发起所有攻击的。

FakeSpy能够窃取受害者的短信，以及那些存储在受感染设备中的账户信息，联系人和通话记录。 另外，FakeSpy也可以作为银行类恶意软件（ANDROIDOS_LOADGFISH.HRX），窃取用户的登录凭证。虽然目前这种恶意软件仅限于感染日语和韩语地区的用户，但鉴于FakeSpy开发者的积极迭代和开发技术，我相信FakeSpy的攻击范围扩大化只是时间的问题。

FakeSpy的攻击过程

如下图所示，对于潜在的日语受害者来说，他们首先会收到一封伪装成日本物流运输公司的移动短信通知，敦促收件人点击短信中的链接进行信息确认。如果用户误点击，则该链接就会将受害者重定向到恶意网页，此时，不管用户点击什么内容，网页上都会出现提示用户下载Android应用程序包（APK）的信息。该网页还有一个用日语编写的下载指南，介绍如何下载和安装该应用程序。

包含恶意软件链接的钓鱼短信

研究人员通过进一步分析表明，该攻击也同时针对韩语用户，且自2017年10月起就一直在活跃。对于韩国用户来说，FakeSpy会伪装成多家当地消费金融服务公司的应用程序，来盗取用户信息。而到了日本用户这里，它将伪装成交通、物流、快递和电子商务公司、移动通信服务和服装零售商的应用程序。

带有下载和安装应用程序说明的恶意网页

韩语（左）和日语（中、右）恶意应用程序的屏幕截图

攻击技术分析

FakeSpy的一些关键配置，比如命令和控制(C&C)服务器等，都会被加密以逃避检测。一旦启动，FakeSpy就将开始监控受影响设备收到的各种短信。这些短信被FakeSpy盗取后，会被上传到C＆C服务器。为了通过JavaScript发送命令，FakeSpy还会滥用JavaScript桥接（JavaScriptInterface），通过从远程网站下载并运行JavaScript来调用应用程序的内部函数。FakeSpy的命令包括向被攻击的设备添加联系人、将操作声音调为静音、重置设备、窃取存储的短信、设备信息、更新自身的配置。

FakeSpy的加密配置

FakeSpy如何将被盗文本消息上传到C＆C服务器

FakeSpy如何向C&C服务器传送盗窃来的短信内容

攻击者发送的更新FakeSpy配置的命令

FakeSpy是如何成为银行类恶意软件的？

除了盗取受害者的信息之外，FakeSpy还可以对手机上安装的相关银行类应用程序进行检查。如果检查到的程序中有FakeSpy攻击者感兴趣的银行类应用，那么攻击者就会提示用户，对这些银行应用进行升级或重新安装，以便趁机将自己的恶意载荷植入其中，这样受害者的用户界面其实就是一个钓鱼页面。当用户点击钓鱼页面时，攻击者就会要求用户输入登录凭证，一旦确认登录完成，则凭证信息也会被发送到C＆C服务器。而如果银用户没有及时输入凭证，则攻击者就会提示用户，他们的账户将会很快被锁定。除了网上银行应用外，FakeSpy还会检查各种数字货币交易程序和电子商务程序。

FakeSpy检查合法的与银行业务相关的应用程序并用假版本替换它们的代码

恶意应用的UI，攻击者利用此页面开始窃取登录凭证

恶意应用程序如何窃取银行凭证的代码片段

逃避检测的过程

FakeSpy的开发者使用了不同的方法来隐藏和更新C＆C服务器，比如通过利用社交媒体，将IP地址写入他们定期修改的Twitter配置文件中。通过调查，研究人员发现，这个IP地址是以^^开头并以$$结尾的。当FakeSpy启动时，它将访问Twitter页面并解析其中的内容以检索C＆CIP地址。 FakeSpy的开发者也以类似的方式，利用了各种论坛和开源动态域名工具。不过，这还不够，为了能进一步规避检测，配置到应用程序中的C＆C服务器地址每天至少被更新一次。同样值得注意的是，利用FakeSpy发起攻击的案例已经非常的多了，这可以从他们在论坛上的攻击活动数量以及利用他们注册的相关URL来托管相应的恶意软件中看出。

FakeSpy利用访问的Twitter页面获取C&C IP地址

FakeSpy利用的论坛（顶部）和动态域名工具（底部）来隐藏C＆C服务器

缓解措施

虽然SMiShing不是什么新型的攻击方式，但是通过社交工程，来引诱或迫使受害者泄漏个人或公司数据，或将他们重定向至恶意软件托管网站，总是防不胜防的。所以用户应该在点击任何信息和链接之前，都应进行思考。另外，即使从官方应用商店下载的应用，也要定期更新，对设备的操作系统也要及时升级。这么做都是为了检查网络钓鱼的蛛丝马迹，例如语法错误或用于欺骗合法URL的特定字符，更重要的是，要警惕那些陌生的且要求你作出某种及时操作（例如点击其中的链接）的消息。详细的IoCs，请点此。