【安全资讯】APT-C-23组织使用间谍软件攻击中东Android用户

安恒威胁情报中心 2021-11-25 14:15:13 245人浏览

引言

2021年9月,研究人员发现APT-C-23组织使用Android间谍软件针对中东地区用户的攻击活动。近日,该组织再次改进了其 Android 间谍软件,增强了功能,使其更隐蔽、更持久。

 

 

简况

移动间谍软件名为VAMP,(又名FrozenCell、GnatSpy和Desert Scorpion),至少自 2017 年以来一直是 APT-C-23 组织的首选工具。新变种以应用程序的形式出现,声称可以在目标手机上安装更新。这些应用程序都没有托管在 Google Play 商店中,因此研究人员怀疑这些应用程序是通过 SMS 短信发送给特定用户的。间谍软件应用程序最初的图标如下图:

 

 

安装后,该应用程序会请求特点权限以执行一系列间谍软件操作,包括请求权限以录制音频、访问存储在设备上的所有文件,以及一些高级权限,如通知访问权限、设备管理员权限以及在与应用程序交互时观察用户操作的权限。

 

 

一旦目标授予这些权限,应用程序就会伪装自身,以绕过用户手动删除的尝试。间谍软件更改其图标和名称,用以下四个应用程序之一的图标来进行伪装:Google Play、Youtube、Google或Botim(一种 VOIP 呼叫应用程序)。再打开间谍软件应用程序时,间谍软件会打开伪装的真实应用程序,即如果它伪装成Chrome,则会打开Chrome,从而给用户一种该应用程序是合法的错觉。

 

 

间谍软件的许多功能保持不变,可以执行以下操作:

  • 收集短信、联系人、通话记录
  • 收集图像和文件
  • 录制音频、来电和去电
  • 截取屏幕截图并录制屏幕视频
  • 使用相机
  • 隐藏图标
  • 阅读来自 WhatsApp、Facebook、Facebook Messenger、Telegram、Skype、IMO Messenger 或 Signal 的通知
  • 取消来自内置安全应用的通知

 

 

总结

为避免成为此类恶意应用程序的受害者,用户应仅安装来自 Google Play等可信来源的应用程序。通过 Android 设置和 Google Play 更新操作系统和应用程序,而不是依赖第三方应用程序。

 

 

失陷指标(IOC)15
APT APT-C-23 中东 其他
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。