DocSwap 恶意软件作为安全文档查看器攻击全球 Android 用户

一款名为“DocSwap”的复杂恶意软件出现，它伪装成合法的文档安全和查看应用程序，瞄准全球 Android 用户。

该恶意软件利用社会工程策略诱骗用户安装看似生产力工具的程序，同时秘密在受害者设备上建立持久性并窃取敏感信息。

最初的感染通常是通过网络钓鱼电子邮件或受感染的网站进行的，这些网站宣传假文档查看器是安全打开 PDF 和 Office 文件的解决方案。

安装后，DocSwap 会请求大量权限，包括访问联系人、存储和短信功能。

S2W 安全分析师指出，一旦安装，恶意软件就会使用加密协议与命令和控制服务器建立连接，以绕过标准检测方法。

他们的分析显示，过去三周内亚洲、欧洲和北美的感染量显著增加。该恶意软件实施了复杂的混淆技术来隐藏其恶意代码。

当应用程序打开时，它实际上会显示文档查看功能，同时在后台执行其有效负载，这对于普通用户来说尤其具有挑战性。

该恶意软件采用多阶段感染过程，首先使用植入器组件。初始负载看似无害，但包含加密负载，该负载会在预定延迟后解密。

该技术有助于逃避安全研究人员常用的沙盒分析和动态扫描工具。

网络流量分析表明，DocSwap 使用模仿合法 HTTPS 流量的自定义协议主要与位于东欧和东南亚的服务器进行通信。

DocSwap 最令人担忧的方面是它能够拦截和转发身份验证短信，这可能会危及双因素身份验证。

安全专家建议立即删除任何可疑的文档查看应用程序，并使用信誉良好的防病毒软件运行完整的设备扫描。

用户还应启用Google Play Protect，避免安装来自未知来源的应用程序。

新闻链接：

https://cybersecuritynews.com/docswap-malware-as-security-document-viewer/

讲述普通人能听懂的安全故事