【安全资讯】APT-C-23组织使用Android间谍软件针对中东地区用户

引言

近日，研究人员发现 APT-C-23 （又名“双尾蝎”）组织使用 Android 恶意软件变种针对中东地区的用户，其分发机制是通过网络钓鱼或通过伪造的 Android 应用进行分发，此应用有一个与 Telegram 应用程序类似的图标，该恶意软件可以从受感染设备窃取敏感信息，例如联系人数据、短信数据和文件。

简况

 APT-C-23 组织使用的恶意软件变体自称为Google_Play_Installer7080009821206716096，该应用欺骗用户，让其觉得该应用是与 Google Play 相关的 APK。

一旦恶意软件在受影响的 Android 设备上成功执行，它就会在用户不知情的情况下执行多项恶意活动。这些活动包括拍照、录音、禁用 WiFi、窃取通话记录、窃取短信、窃取联系人数据以及窃取各种扩展名的文件（PDF、doc、docx、ppt、pptx、xls、xlsx、txt、text 、jpg、jpeg、png）等。

该恶意软件还可以在用户不知情的情况下拨打电话、从设备中删除文件、记录受害者设备的屏幕、截屏、阅读文本内容以及在 WhatsApp 中收集通话记录。灵台，恶意软件还会检查目标是否位于在中东地区的电信运营商。

Google_Play_Installer7080009821206716096应用程序的启动流程如下：

该应用程序要求用户授予其设备管理员权限，一旦恶意软件获得管理员权限，将增强其功能。

管理员激活请求

在获得所需的权限后，恶意软件会打开一个类似于官方 Telegram 应用程序的 UI。

恶意应用将请求 35 种不同的权限，攻击者可以滥用其中的 18 种。在这种情况下，恶意软件可以：

● 读取、删除或修改短信、通话记录和联系人数据。
● 无需用户交互即可拨打电话
● 删除短信数据
● 结束其他应用的后台进程
● 接收和发送短信
● 读取当前蜂窝网络信息、受影响手机的电话号码和序列号、任何正在进行的通话的状态以及设备上注册的任何电话帐户（例如：三星帐户等固件帐户）的列表。
● 读取、删除或修改设备外部存储上的文件
● 禁用键锁和任何相关的密码安全措施，例如生物特征验证。

结论

APT-C-23 组织使用该 Android 间谍软件专门针对中东地区的用户，并 不断调整攻击方法以避免被发现，通过复杂的技术和寻找新的方法来定位目标用户。用于感染设备的最常见方法之一是将恶意软件伪装成所谓的合法 Google 应用程序，以迷惑用户安装它们。用户应在验证应用程序的真实性，以避免安装恶意应用程序，并仅从官方 Google Play 商店安装应用程序，以避免此类攻击。