APT黑客通过叙利亚电子政府门户发布Android特洛伊木马

在通过叙利亚电子政府门户网站部署Android恶意软件的新活动中，一名高级持续威胁（APT）参与者被追踪，这表明一个升级的武库旨在危害受害者。

“据我们所知，这是该组织首次被公开观察到使用恶意Android应用程序作为其攻击的一部分，”趋势科技研究人员董正宇、Fyodor Yarochkin和Steven Du在周三发布的一篇技术文章中说。

强烈的怜悯微软公司也将其命名为Promethium，据信该公司自2012年以来一直活跃，主要针对土耳其和叙利亚境内的目标。2020年6月，这名间谍威胁参与者与一系列活动有关，这些活动依靠水坑攻击和篡改安装程序，滥用合法应用程序的流行性，用恶意软件感染目标。

Cisco Talos去年透露，“多年来，Promethium一直具有弹性。”。“该组织的活动已经被曝光了好几次，但这还不足以让其背后的参与者停止。该组织即使在被曝光后也没有停止发起新的活动，这一事实表明了他们完成使命的决心。”

最新的行动也没有什么不同，因为它强调了威胁参与者倾向于将良性应用程序重新打包为特洛伊木马变种，以促进攻击。

伪装成叙利亚E-GOV Android应用程序的恶意软件据说是在2021年5月创建的，应用程序的清单文件（“ANDROIDMANDS.XML”）被修改，以明确地请求在手机上的附加权限，包括读取联系人、写入外部存储器、保持设备唤醒的能力。访问有关蜂窝和Wi-Fi网络的信息、精确位置，甚至允许应用程序在系统启动完成后立即启动。

此外，该恶意应用程序被设计为在后台执行长时间运行的任务，并触发对远程指挥与控制（C2）服务器的请求，该服务器会用一个加密的负载进行响应，该负载包含一个设置文件，允许“恶意软件根据配置改变其行为”，并更新其C2服务器地址。

最后但并非最不重要的一点是，这种“高度模块化”的植入物有能力过滤存储在受感染设备上的数据，例如联系人、Word和Excel文档、PDF、图像、安全密钥以及使用Dagesh Pro文字处理器（.DGS）保存的文件等，所有这些数据都会被过滤回C2服务器。

尽管没有已知的公开报道称StrongMite在攻击中使用了恶意Android应用程序，但Trend Micro将其归因于对手使用了一台C2服务器，该服务器之前曾被用于与黑客组织有关的入侵，尤其是AT&；2019年7月，T的外星人实验室利用WinBox路由器管理软件、WinRAR和其他受信任的实用程序的受污染版本来突破目标。

研究人员说：“我们认为，威胁行为人正在探索将应用程序交付给潜在受害者的多种方式，例如使用虚假应用程序，以及使用受损网站作为水源，诱骗用户安装恶意应用程序。”。

“通常情况下，这些网站会要求其用户直接将应用程序下载到设备上。为此，这些用户需要在其设备上安装来自‘未知来源’的应用程序。这绕过了Android生态系统的‘信任链’，使攻击者更容易发送添加他们补充道。