原創不易 請隨手點擊關注
本文由Rehoo團隊Leery原創, 無授權禁轉!(圖片來自網路)
圖片來自網路
研究人員稱, 推動監控惡意軟體的駭客最近通過在穀歌官方Play遊戲市場上託管三個惡意應用程式。
移動安全公司Lookout的情報負責人Michael Flossman說道, mAPT可能來自兩個分別針對中東地區人群的組織, Michael Flossman, 移動安全公司Lookout的威脅情報負責人。 據Google Play的資料顯示, 這三款應用程式共收到約650到1,250次下載。 這些都讓攻擊者對受感染手機獲取控制權。
應用程式來自一個名為ViperRat和來自Desert Scorpion的第三個應用程式, 代表了谷歌官方市場上少有mAPT之一。 攻擊者的成功主要是模組化設計, 其中惡意功能不是從Play商店首先下載的初始版本的一部分。 相反, 監控能力進入後期下載的第二階段。 以前, 這兩個駭客組織都主要依靠社交網路來欺騙目標從協力廠商市場下載應用程式。
圖片來自網路
Flossman在一封電子郵件中寫道:“這些技術包括不傳送應用程式的惡意功能, 直到由某些行為觸發的第二階段。 Surveillanceware能夠將惡意功能隱藏在社交網路和聊天應用程式中,
Desert Scorpion在一個名為Dardesh的應用程式中發佈, 該應用程式被下載了大約100次。 它提供了一套完整的監視功能, 包括:
將攻擊者指定的檔上傳到命令和控制伺服器
記錄周圍的音訊, 通話和視頻
檢索帳號資訊, 如電子郵寄地址
檢索連絡人
如果有任何其他APK下載到外部存儲, 請移除其自身的副本
調用攻擊者指定的號碼
卸載應用程式
隱藏它的圖示
檢索外部記憶體上的檔清單
加密一些exfiltrated資料
獲取已安裝應用程式的清單
獲取設備中繼資料
檢查自己以獲取可啟動活動的清單
檢索在外部存儲中找到的PDF, txt, doc, xls, xlsx, ppt和pptx檔
發送短信
檢索短信
跟蹤設備位置
通過帶外文本消息處理有限的攻擊者命令
檢查設備是否生根
如果在華為設備上運行, 嘗試將其自身添加到能夠在關閉螢幕的情況下運行的受保護應用程式清單
圖片來自網路
研究人員認為, 這兩個分別稱為沙漠蠍子與冰凍細胞的程式都是由一個名為APT-C-23的團體開發的,
Lookout觀察到Dardesh接收到兩次更新, 第一次是在2月26日, 第二次是在3月28日.Dardesh的第二階段以通用設置應用程式的形式出現。
ViperRat惡意軟體通過VokaChat和Chattak提供, 它們分別獲得500到1,000次下載和50到100次下載。 早期的ViperRat運動針對以色列國防軍成員, 在協力廠商市場發佈應用程式。 並最終試圖誘導他們下載特洛伊木馬聊天應用程式。 與早期的ViperRat廣告系列的聊天應用程式不同, VokaChat和Chattak包含全功能的聊天功能, 這一功能使目標不太可能懷疑他們安裝了惡意軟體。
圖片來自網路
Chattak包含一個功能,Lookout並不確定它是哪一個,它向其他用戶披露了某些使用者的電子郵寄地址和其他詳細資訊。許多電子郵寄地址表明目標與沙烏地阿拉伯有關係,但Lookout不確定這些位址是否來自實際安裝惡意軟體的人群。
由於很多人對Google Play市場的信任,這三個應用程式對Android使用者的威脅越來越大。一款可從Google Play商店下載的惡意應用程式是非常危險的,Flossman在週一上午發佈的詳細介紹ViperRat的博客文章中寫道。這令我們感到震驚,因為隨著攻擊者不斷找到新的方式為他們的惡意應用增加合法性,他們的網路釣魚攻擊將變得更加隱蔽。”
圖片來自網路
Chattak包含一個功能,Lookout並不確定它是哪一個,它向其他用戶披露了某些使用者的電子郵寄地址和其他詳細資訊。許多電子郵寄地址表明目標與沙烏地阿拉伯有關係,但Lookout不確定這些位址是否來自實際安裝惡意軟體的人群。
由於很多人對Google Play市場的信任,這三個應用程式對Android使用者的威脅越來越大。一款可從Google Play商店下載的惡意應用程式是非常危險的,Flossman在週一上午發佈的詳細介紹ViperRat的博客文章中寫道。這令我們感到震驚,因為隨著攻擊者不斷找到新的方式為他們的惡意應用增加合法性,他們的網路釣魚攻擊將變得更加隱蔽。”