【安全资讯】RemRAT：在中东潜伏多年的Android间谍软件

近期，研究人员发现一个与“阿勒颇战役“相关的Android RAT，并命名为RemRAT 。“阿勒颇战役” 是叙利亚内战中最血腥的战役之一， 最终以政府军的胜利而结束 ，该战役的胜利标志着叙利亚军队由战略防御转变为了战略进攻。  RemRAT使用此战役期间的Jabhat al-Nusra组织参战图标进行伪装。通过分析后发现，该RAT家族最早出现于2016年3月，至今仍在活跃，主要通过以apk子包的方式嵌入到含有正常功能的母包中进行隐蔽传播。

RemRAT主要以子包的形式存在于有正常功能应用的assets资源文件中，目前已发现的被用来作为传播载体的母包均与伊斯兰宗教书籍相关。值得注意的是，其中一个子包的图标来自于一个讨论“叙利亚内战”的waroffline战争论坛，并且图标人物为参加“阿勒颇的进攻”战役的Jabhat al-Nusra组织反对派武装人员。

“阿勒颇的进攻“战役相关的论坛

通过对受害者进行分析，发现受害者主要集中在叙利亚和伊朗，最早的受害用户感染时间是2016年底，并且目前仍有新用户被感染。“阿勒颇战役“已结束多年，但攻击仍在继续，这暗示着攻击者关注的不仅仅是叙利亚的阿勒颇战役，而是与中东地区局势紧密相关或关注中东地区局势的人员。

受害用户地域分布

总结：

RemRAT的发现不是偶然，它只是中东各国战争背影下催生的众多产物之一。借助宗教书籍APP进行载荷投递，攻击时间长，种种迹象表明这是一起中东地区有针对性的长期攻击活动，活动背后更深层次的秘密需要我们持续深入的跟进挖掘。