雙尾蠍仍在使用Android惡意軟體攻擊巴基斯坦政府實體

「用指尖改變世界」

在一年多以前，雙尾蠍組織（APT-C-23）開始在中東地區傳播其Android惡意軟體（主要針對的是巴勒斯坦的教育、軍事等機構）。從最新發布的一份調查報告的來看，該組織仍在針對巴基斯坦人實施攻擊，並在攻擊中使用了新的Android惡意軟體變種。

在這份調查報告中，來自卡巴斯基實驗室的安全專家稱，新的變種被嵌入在一款名為「Zee Player」的應用程序中，它是在幾周前被上傳到Google Play的。該應用程序被描述為一款「可以隱藏圖片和視頻」的媒體播放器。事實上，你會發現它連自己的圖標也給隱藏了。

安全專家表示，Zee Player 在Google Play上的頁面包含了一個指向其開發者網站的鏈接。該網站聲稱可以為用戶提供「專屬視頻服務」，以誘使用戶提交自己的信用卡詳細信息。在提交之後，用戶只會看到一個「正在維護」的頁面。

在對該應用程序進行拆解分析之後，安全專家表示它似乎是GnatSpy的一個變種，而GnatSpy是「雙尾蠍」常用的惡意軟體之一。這個新的GnatSpy變種被證實能夠從受感染設備中竊取信息，並誘使受害者安裝更多的惡意軟體。通過查看SharedPreferences（Android平台上一個輕量級的存儲類，用來保存應用程序的一些常用配置）管理器，我們能夠發現該應用程序的真實意圖。

卡巴斯基實驗室的這份調查報告也得到了其他一些安全研究人員的證實。在Pastebin上我們可以找到這樣一篇帖子，昵稱為「0R0BINH00D0」的用戶針對同樣的攻擊活動進行了分析，並表示從攻擊者的伺服器上獲取到了大量的被竊取的信息，包括受害者的名單、以及他們的照片、密碼等等。

根據受害者名單來看，大多數IP地址都位於西岸地區和加沙地帶（約80%），還有來自埃及、約旦和黎巴嫩的受害者，這起攻擊顯然針對的是巴勒斯坦人。以下是顯示受害者分布的熱點圖：

以下是0R0BINH00D0從攻擊者伺服器上獲取到的一些受害者照片：

以下是0R0BINH00D0從攻擊者伺服器上獲取到的一些由惡意軟體上傳的屏幕截圖：

另外，0R0BINH00D0在他的帖子中還發布了一個用於刪除這個惡意應用程序的小工具。不過，卡巴斯基實驗室認為這個工具的運行原理過於簡單，因為它僅根據APK的包名來刪除惡意軟體。

卡巴斯基實驗室表示，目前由於收集到的有關APT-C-23的信息十分有限，因此更全面的報告活血將在之後發布。無論如何，用戶都應該採取以下預防措施，以免受此類移動惡意軟體的侵害：

務必不要從不熟悉的網站下載應用程序；

僅安裝來自可靠來源的應用程序；

密切關注應用程序所請求的許可權；

安裝必要的移動安全應用程序，以保護你的設備和數據；

始終保持操作系統最新；

定期備份重要數據。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！