重新包装的Zoom视频会议应用程序的恶意版本针对具有广告软件和特洛伊木马程序的在家工作的Android用户，Bitdefender报告。

在当前的COVID-19大流行迫使他们在家中工作时，许多人正在使用Zoom来与同事和其他与他们保持联系的人保持联系，网络罪犯利用这种情况诱骗人们下载恶意程序。

在过去的几周中，缩放倍受关注，这不仅是因为使用量激增，还因为影响其及其用户的各种安全和隐私问题。

尽管如此，仍有数百万人将其用于视频会议，网络犯罪分子将其视为进行恶意活动的机会。

Bitdefender 透露，一种攻击类型涉及使用重新包装的Zoom克隆，这些克隆通过第三方市场进行分发。观察到的样本仅针对侧加载应用程序但从未将其加载到Google Play的用户。

经过重新打包的程序之一具有与原始应用程序相同的用户界面，还保留了与原始应用程序相同的程序包名称，并且证书详细信息几乎相同。

该软件旨在从其命令和控制基础结构中的tcp [：] // googleteamsupport [。] ddns.net:4444下载有效负载。

该域是“动态DNS服务，它允许具有动态IP地址的用户将其映射到子域，因此即使动态IP地址发生更改，他们也可以不中断地提供服务，” Bitdefender解释说。

该安全公司能够将子域链接到sweetman2020 [。] no-ip [。] biz，后者被用作Android远程访问特洛伊木马（RAT）的C＆C服务器，称为SandoRAT和DroidJack。

观察到另一个注入的Zoom应用程序专门针对中国用户。安装后，该应用会请求电话，位置和照片权限。该软件旨在向受害者显示广告，但仅持续一秒钟。

Bitdefender说，第三个试图模拟Zoom的恶意样本针对美国的Android用户。名为ZOOM Cloud Meetings的应用程序在执行后会从菜单中隐藏起来，然后发出重复警报，该警报会随机向广告服务发送意图以打开广告。

然后，恶意应用会检查资产中的硬编码字符串（称为“ admin”），并询问该字符串是否为管理员权限。如果不是，它将在启动时尝试下载另一个文件。

该示例可以要求英语或俄语的设备管理员权限，具体取决于设备的默认语言。Bitdefender说，它还可以在设备开机时自行启动。