【安全资讯】APT-C-23组织使用间谍软件攻击中东Android用户

引言

2021年9月，研究人员发现APT-C-23组织使用Android间谍软件针对中东地区用户的攻击活动。近日，该组织再次改进了其 Android 间谍软件，增强了功能，使其更隐蔽、更持久。

简况

移动间谍软件名为VAMP，（又名FrozenCell、GnatSpy和Desert Scorpion），至少自 2017 年以来一直是 APT-C-23 组织的首选工具。新变种以应用程序的形式出现，声称可以在目标手机上安装更新。这些应用程序都没有托管在 Google Play 商店中，因此研究人员怀疑这些应用程序是通过 SMS 短信发送给特定用户的。间谍软件应用程序最初的图标如下图：

安装后，该应用程序会请求特点权限以执行一系列间谍软件操作，包括请求权限以录制音频、访问存储在设备上的所有文件，以及一些高级权限，如通知访问权限、设备管理员权限以及在与应用程序交互时观察用户操作的权限。

一旦目标授予这些权限，应用程序就会伪装自身，以绕过用户手动删除的尝试。间谍软件更改其图标和名称，用以下四个应用程序之一的图标来进行伪装：Google Play、Youtube、Google或Botim（一种 VOIP 呼叫应用程序）。再打开间谍软件应用程序时，间谍软件会打开伪装的真实应用程序，即如果它伪装成Chrome，则会打开Chrome，从而给用户一种该应用程序是合法的错觉。

间谍软件的许多功能保持不变，可以执行以下操作：

• 收集短信、联系人、通话记录
• 收集图像和文件
• 录制音频、来电和去电
• 截取屏幕截图并录制屏幕视频
• 使用相机
• 隐藏图标
• 阅读来自 WhatsApp、Facebook、Facebook Messenger、Telegram、Skype、IMO Messenger 或 Signal 的通知
• 取消来自内置安全应用的通知

总结

为避免成为此类恶意应用程序的受害者，用户应仅安装来自 Google Play等可信来源的应用程序。通过 Android 设置和 Google Play 更新操作系统和应用程序，而不是依赖第三方应用程序。