Facebook摧毁巴勒斯坦黑客传播移动间谍软件的行动

Facebook周三表示，它已采取措施，取缔两个在巴勒斯坦运营的国家支持的黑客组织实施的恶意活动，这些组织滥用Facebook平台传播恶意软件。

这家社交媒体巨头将袭击归咎于一个与巴勒斯坦国安全机构预防安全局（PSS）有关的网络，以及另一个被称为“干旱毒蛇”（又名沙漠猎鹰和APT-C-23）的威胁行为体，后者据称与哈马斯的网络部门有关。

2019年和2020年活跃的两次数字间谍活动利用了安卓、iOS和Windows等一系列设备和平台，PSS集群主要针对巴勒斯坦的国内受众。另一组攻击目标是巴勒斯坦领土和叙利亚的用户，其次是土耳其、伊拉克、黎巴嫩和利比亚。

这两个组织似乎都利用该平台作为跳板，发起了各种社会工程攻击，试图诱使人们点击恶意链接并在设备上安装恶意软件。为了干扰对手的行动，Facebook表示，它关闭了他们的账户，屏蔽了与他们活动相关的域，并提醒怀疑是这些组织挑出的用户帮助他们保护账户。

Android间谍软件在外观温和的聊天应用程序中

据称，PSS使用定制的安卓恶意软件伪装成安全聊天应用程序，秘密捕获设备元数据，捕获击键，并将数据上传到Firebase。此外，该组织还部署了另一个名为SpyNote的安卓恶意软件，该软件具有监听通话和远程访问受损手机的功能。

该组织使用伪造和泄露的账户来创建虚拟角色，通常以年轻女性的身份，以及哈马斯、法塔赫、各种军事组织、记者和活动人士的支持者的身份，目的是与目标建立关系，并引导他们进入钓鱼页面和其他恶意网站。

负责网络间谍调查的Facebook研究人员说：“这一持续的威胁行为主要针对广泛的目标，包括记者、反对法塔赫领导的政府的人、人权活动人士以及包括叙利亚反对派和伊拉克军方在内的军事组织。”。

复杂的间谍活动

另一方面，观察到Arid Viper在其目标活动中加入了一款名为“Phenakite”的新定制iOS监控软件，Facebook指出该软件能够从iPhone窃取敏感用户数据，而无需在泄露前越狱。Phenakite是以一个名为MagicSmile的功能齐全但安装了特洛伊木马的聊天应用程序的形式交付给用户的，该应用程序托管在第三方中国应用程序开发网站上，可以在后台秘密运行，并在用户不知情的情况下获取手机上存储的数据。

该组织还维护了一个由179个域组成的庞大基础设施，这些域用于托管恶意软件或充当指挥与控制（C2）服务器。

研究人员补充说：“诱饵内容和已知受害者表明，目标人群是与支持法塔赫的团体、巴勒斯坦政府组织、军事和安全人员以及巴勒斯坦境内的学生团体有关的个人。”。

脸谱网怀疑Viver Viver只在少数情况下使用了iOS恶意软件，这意味着一个高度有针对性的操作，哈马斯链接的黑客同时专注于一系列基于Android的间谍软件应用程序，这些软件声称有助于中东的约会、网络和区域银行业务，对手将恶意软件伪装成合法应用程序（如WhatsApp）的假应用程序更新。

安装后，恶意软件敦促受害者禁用Google Play Protect并授予应用程序设备管理员权限，使用固有的访问权限记录通话、捕获照片、音频、视频或屏幕截图、拦截消息、跟踪设备位置、检索联系人、通话记录和日历详细信息，甚至还有来自WhatsApp、Instagram、Imo、Viber和Skype等消息应用程序的通知信息。

在试图添加额外的混淆层时，发现该恶意软件与多个由攻击者控制的站点联系，这些站点反过来为植入物提供了C2服务器以进行数据外泄。

Facebook的研究人员说：“Arid Viper最近扩展了他们的攻击工具包，将iOS恶意软件包括在内，我们认为这些恶意软件正被部署在针对亲法塔赫团体和个人的有针对性的攻击中。”。“由于干旱毒蛇的技术成熟度可以被认为是低到中等，这种能力的扩展应该向防御者发出信号，其他低层对手可能已经拥有或可以迅速开发类似的工具。”