行業新聞與博客

已發現一種新的 Android 攻擊技術，該技術通過操縱運行時環境而非修改應用程序來進行攻擊。

CloudSEK 研究人員發現的這種方法利用 LSPosed 框架干擾系統級進程，使攻擊者能夠在不更改合法支付應用程序的代碼或觸發標準安全檢查的情況下劫持合法的支付應用程序。

這種方法不同於以往依賴重新打包 APK 的攻擊。它直接針對底層操作系統，使惡意模塊能夠攔截並篡改應用與設備之間的通信。因此，應用簽名仍然有效，而 Google Play Protect 等保護措施則會被繞過。

該技術與一個名為“Digital Lutera”的模塊有關，該模塊利用 Android API 攔截短信、偽造設備身份並實時提取雙因素身份驗證 (2FA) 數據。

利用 SIM 卡綁定和系統 API

此次攻擊的核心在於 SIM 卡綁定機制的失效，而 SIM 卡綁定是移動支付系統中一項關鍵的安全功能。該機制通常用於確保銀行賬户與實體 SIM 卡和設備綁定。

攻擊者通過以下方式破壞此機制：

• 攔截短信驗證碼

• 通過系統 API 偽造電話號碼

• 將虛假短信記錄注入設備數據庫

• 利用實時命令服務器協調行動

通過將受害人的設備與被篡改的攻擊者的設備結合使用，詐騙分子可以欺騙銀行服務器，使其誤以為受害人的 SIM 卡在其他地方。這使得詐騙分子能夠未經授權訪問賬户並批准交易。

大規模欺詐風險

CloudSEK 指出，這種方法影響巨大。它能夠實現實時欺詐策劃和可擴展的賬户接管，攻擊者可以在受害者不知情的情況下重置支付密碼並轉移資金。

在 Telegram 上也發現了與此次行動相關的活動，攻擊者似乎在該平台上共享截獲的登錄數據並協調訪問嘗試。研究分析的一個頻道包含超過 500 條與登錄相關的消息，表明該技術已被用於實際的攻擊活動中。

此次攻擊也暴露了現有信任模型的弱點。銀行通常依賴短信頭部和設備信號作為身份驗證依據，而這種方法實際上打破了這些假設。

此外，使用持久性系統級模塊使得檢測和清除變得困難。即使重新安裝受影響的應用程序也無法消除威脅，因為惡意鈎子仍然在操作系統中處於活動狀態。

為降低風險，專家建議加強完整性檢查，包括基於硬件的驗證和更嚴格的短信發送後端驗證。此外，從依賴設備上報數據轉向運營商級確認也被視為應對這一不斷演變的威脅的關鍵。