提供更好的保護 Google Play推出APT監控惡意軟體

原創不易 請隨手點擊關注

本文由Rehoo團隊Leery原創，無授權禁轉！(圖片來自網路）

圖片來自網路

研究人員稱，推動監控惡意軟體的黑客最近通過在谷歌官方Play遊戲市場上託管三個惡意應用程序。谷歌收到他們的存在通知後刪除了這些應用程序。

移動安全公司Lookout的情報負責人Michael Flossman說道，mAPT可能來自兩個分別針對中東地區人群的組織，Michael Flossman，移動安全公司Lookout的威脅情報負責人。據Google Play的數據顯示，這三款應用程序共收到約650到1,250次下載。這些都讓攻擊者對受感染手機獲取控制權。

應用程序來自一個名為ViperRat和來自Desert Scorpion的第三個應用程序，代表了谷歌官方市場上少有mAPT之一。攻擊者的成功主要是模塊化設計，其中惡意功能不是從Play商店首先下載的初始版本的一部分。相反，監控能力進入後期下載的第二階段。以前，這兩個黑客組織都主要依靠社交網路來欺騙目標從第三方市場下載應用程序。獲得Play中託管的應用程序的能力，因為它為目標提供了更多保證，確保這些應用程序是合法的。

圖片來自網路

Flossman在一封電子郵件中寫道：「這些技術包括不傳送應用程序的惡意功能，直到由某些行為觸發的第二階段。Surveillanceware能夠將惡意功能隱藏在社交網路和聊天應用程序中，因為它們請求許多相同的許可權。」

Desert Scorpion在一個名為Dardesh的應用程序中發布，該應用程序被下載了大約100次。它提供了一套完整的監視功能，包括：

將攻擊者指定的文件上傳到命令和控制伺服器

記錄周圍的音頻，通話和視頻

檢索帳戶信息，如電子郵件地址

檢索聯繫人

如果有任何其他APK下載到外部存儲，請移除其自身的副本

調用攻擊者指定的號碼

卸載應用程序

隱藏它的圖標

檢索外部存儲器上的文件列表

加密一些exfiltrated數據

獲取已安裝應用程序的列表

獲取設備元數據

檢查自己以獲取可啟動活動的列表

檢索在外部存儲中找到的PDF，txt，doc，xls，xlsx，ppt和pptx文件

發送簡訊

檢索簡訊

跟蹤設備位置

通過帶外文本消息處理有限的攻擊者命令

檢查設備是否生根

如果在華為設備上運行，嘗試將其自身添加到能夠在關閉屏幕的情況下運行的受保護應用程序列表

圖片來自網路

研究人員認為，這兩個分別稱為沙漠蠍子與冰凍細胞的程序都是由一個名為APT-C-23的團體開發的，或者至少是由他們操作的。沙漠蠍子正被用來瞄準中東地區的個人，特別是巴勒斯坦地區的個人。

Lookout觀察到Dardesh接收到兩次更新，第一次是在2月26日，第二次是在3月28日.Dardesh的第二階段以通用設置應用程序的形式出現。

ViperRat惡意軟體通過VokaChat和Chattak提供，它們分別獲得500到1,000次下載和50到100次下載。早期的ViperRat運動針對以色列國防軍成員，在第三方市場發布應用程序。並最終試圖誘導他們下載特洛伊木馬聊天應用程序。與早期的ViperRat廣告系列的聊天應用程序不同，VokaChat和Chattak包含全功能的聊天功能，這一功能使目標不太可能懷疑他們安裝了惡意軟體。

圖片來自網路

Chattak包含一個功能，Lookout並不確定它是哪一個，它向其他用戶披露了某些用戶的電子郵件地址和其他詳細信息。許多電子郵件地址表明目標與沙烏地阿拉伯有關係，但Lookout不確定這些地址是否來自實際安裝惡意軟體的人群。

由於很多人對Google Play市場的信任，這三個應用程序對Android用戶的威脅越來越大。一款可從Google Play商店下載的惡意應用程序是非常危險的，Flossman在周一上午發布的詳細介紹ViperRat的博客文章中寫道。這令我們感到震驚，因為隨著攻擊者不斷找到新的方式為他們的惡意應用增加合法性，他們的網路釣魚攻擊將變得更加隱蔽。」

歡迎關注微信公眾號：RehooTech

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！