【安全资讯】Android用户遭遇AppLite木马攻击，伪装成热门应用

概要：

近期，zLabs发现了一种名为AppLite的新型银行木马，针对Android设备展开了广泛的钓鱼攻击。这种恶意软件伪装成Chrome、TikTok等合法应用，能够窃取敏感凭证并完全控制受感染的设备。攻击者利用精心设计的社交工程策略诱骗受害者，造成了严重的安全威胁。

主要内容：

AppLite木马通过伪装成HR代表或招聘人员，向潜在受害者发送精心制作的钓鱼邮件，诱导他们访问伪造的公司和教育机构网站，下载恶意Android应用。一旦安装，这个看似合法的应用便成为了木马的投放工具，悄然将AppLite木马传送至受害者设备。

zLabs指出，AppLite使用ZIP格式操控等混淆技术来逃避安全工具的检测。恶意行为者通过改变APK文件的ZIP格式和Android Manifest文件的结构，使分析工具失效，从而绕过检测机制，保持在目标设备上的可安装性。

与其他银行木马类似，AppLite还利用覆盖攻击欺骗用户。当目标应用启动时，木马会覆盖一个伪装成合法应用的恶意HTML页面，诱使用户输入敏感凭证。该恶意软件通过websocket与其指挥与控制（C&C）服务器建立连接，进行实时双向通信，收集联系人、短信和应用凭证等敏感数据，甚至可以通过虚拟网络计算（VNC）功能远程控制设备。

AppLite最令人担忧的能力是其自动解锁设备的功能。利用无障碍服务，它能够识别锁屏模式视图，计算移动路径，并模拟触摸手势，无需用户交互即可解锁设备。此次攻击主要针对精通英语、西班牙语、法语、德语、意大利语、葡萄牙语和俄语的用户，受害者包括95款银行应用、62款加密货币应用及其他金融服务用户，影响范围遍及北美、欧洲及部分亚洲地区。