行业新闻与博客

已发现一种新的 Android 攻击技术，该技术通过操纵运行时环境而非修改应用程序来进行攻击。

CloudSEK 研究人员发现的这种方法利用 LSPosed 框架干扰系统级进程，使攻击者能够在不更改合法支付应用程序的代码或触发标准安全检查的情况下劫持合法的支付应用程序。

这种方法不同于以往依赖重新打包 APK 的攻击。它直接针对底层操作系统，使恶意模块能够拦截并篡改应用与设备之间的通信。因此，应用签名仍然有效，而 Google Play Protect 等保护措施则会被绕过。

该技术与一个名为“Digital Lutera”的模块有关，该模块利用 Android API 拦截短信、伪造设备身份并实时提取双因素身份验证 (2FA) 数据。

利用 SIM 卡绑定和系统 API

此次攻击的核心在于 SIM 卡绑定机制的失效，而 SIM 卡绑定是移动支付系统中一项关键的安全功能。该机制通常用于确保银行账户与实体 SIM 卡和设备绑定。

攻击者通过以下方式破坏此机制：

• 拦截短信验证码

• 通过系统 API 伪造电话号码

• 将虚假短信记录注入设备数据库

• 利用实时命令服务器协调行动

通过将受害人的设备与被篡改的攻击者的设备结合使用，诈骗分子可以欺骗银行服务器，使其误以为受害人的 SIM 卡在其他地方。这使得诈骗分子能够未经授权访问账户并批准交易。

大规模欺诈风险

CloudSEK 指出，这种方法影响巨大。它能够实现实时欺诈策划和可扩展的账户接管，攻击者可以在受害者不知情的情况下重置支付密码并转移资金。

在 Telegram 上也发现了与此次行动相关的活动，攻击者似乎在该平台上共享截获的登录数据并协调访问尝试。研究分析的一个频道包含超过 500 条与登录相关的消息，表明该技术已被用于实际的攻击活动中。

此次攻击也暴露了现有信任模型的弱点。银行通常依赖短信头部和设备信号作为身份验证依据，而这种方法实际上打破了这些假设。

此外，使用持久性系统级模块使得检测和清除变得困难。即使重新安装受影响的应用程序也无法消除威胁，因为恶意钩子仍然在操作系统中处于活动状态。

为降低风险，专家建议加强完整性检查，包括基于硬件的验证和更严格的短信发送后端验证。此外，从依赖设备上报数据转向运营商级确认也被视为应对这一不断演变的威胁的关键。