印度的Android智能手机用户是一个新的恶意软件活动的目标，该活动采用社会工程诱饵来安装能够获取敏感数据的欺诈性应用程序。

“攻击者使用WhatsApp和Telegram等社交媒体平台发送消息，旨在通过冒充合法组织，诱使用户在其移动设备上安装恶意应用程序。比如银行，政府服务，公用事业，”微软威胁情报研究人员Abhishek Pustakala，Harshita Tripathi和Shivang Desai在周一的分析中说。

该操作的最终目标是捕获银行详细信息、支付卡信息、Account凭据和其他个人数据。

攻击链包括通过WhatsApp和Telegram发送的社交媒体消息共享恶意APK文件，虚假地将其作为银行应用程序，并声称目标银行账户将被封锁，除非他们通过伪造的数据更新印度所得税部发布的永久帐号(PAN)。

安装后，该应用程序会敦促受害者输入他们的银行账户信息，借记卡PIN、PAN卡号和在线银行凭证，随后将其传输到演员控制的命令和控制（C2）服务器和硬编码的电话号码。

研究人员表示：“一旦所有要求的细节都被提交，一张可疑的纸条就会显示，这些细节正在被核实以更新KYC。”

“用户被告知等待30分钟，不要删除或卸载该页面。此外，该应用程序具有隐藏其图标的功能，使其从用户的设备主屏幕上消失，但仍在后台运行。”

该恶意软件的另一个值得注意的方面是，它要求用户授予其读取和发送SMS消息的权限，从而使其能够拦截一次性密码（OTP），并通过SMS将受害者的消息发送到威胁行为者的电话号码。

微软发现的银行木马的变种也被发现窃取信用卡详细信息以及个人身份信息（Polaris Industries）和传入的短信，使不知情的用户暴露于金融欺诈中。

不过，值得注意的是，要想让这些攻击成功，用户必须在Google Play商店之外启用安装未知来源应用的选项。

研究人员表示：“手机银行木马感染会对用户的个人信息、隐私、设备完整性和金融安全造成重大风险。“这些威胁往往可以伪装成合法的应用程序，并部署社会工程战术，以达到他们的目的，窃取用户的敏感数据和金融资产。”

Android生态系统也受到了SpyNote木马的攻击，该木马以一个mod为幌子，针对Roblox用户，以窃取敏感信息。

在另一个例子中，假冒的成人网站被用作诱饵，引诱用户下载一个名为Enchant的Android恶意软件，该软件专门从加密货币钱包中窃取数据。

Cyble在最近的一份报告中表示：“附魔恶意软件使用可访问性服务功能来针对特定的加密货币钱包，包括imToken、OKX、Bitpie钱包和TokenPocket钱包。”

“它的主要目标是窃取关键信息，如钱包地址、助记短语、钱包资产详细信息、钱包密码和被入侵设备的私钥。”

上个月，Doctor Web在Google Play Store上发现了几个恶意应用程序，这些应用程序显示侵入式广告（HiddenAds），在用户不知情或同意的情况下订阅高级服务（Joker），并通过伪装成交易软件（FakeApp）来促进投资诈骗。

Android恶意软件的冲击，促使谷歌宣布新的安全功能，如实时代码级扫描新遇到的应用程序。它还在Android 13中推出了限制设置，禁止应用访问关键设备设置（例如，辅助功能），除非用户明确启用。

不仅仅是谷歌。三星在2023年10月下旬发布了一个新的Auto Blocker选项，可以阻止来自Google Play Store和Galaxy Store以外来源的应用程序安装，并通过USB端口阻止有害命令和软件安装。

为了避免从Google Play和其他可信来源下载恶意软件，建议用户检查应用开发者的合法性，仔细审查评论，并审查应用请求的权限。