针对中东Android用户的“合法应用变成间谍软件”

被称为“维切莱克“卡巴斯基的研究人员最近发现，这场运动的目标是以色列公民和其他一些中东国家，他们使用了一种强大的监控恶意软件，旨在窃取几乎所有可访问的信息，包括通话录音、短信、照片、视频和位置数据，所有这些都是在用户不知情的情况下进行的。

除了这些传统的间谍功能外，该恶意软件还具有后门功能，包括上传、下载和删除文件、录制周围音频、接管摄像头、拨打电话或向特定号码发送消息。
这些活动中使用的恶意软件名为“三重奏“在Bitdefender于2018年发布的一份报告中，这是一种恶意软件框架，攻击者通过向合法应用程序中注入额外的恶意负载，将其转化为间谍软件。

在今天发布的一份新报告中，卡巴斯基实验室透露，攻击者在向合法应用程序中注入恶意代码后，正在积极使用Baksmali工具拆解并重新组装该应用程序的代码，一种通常被称为Smali注射的技术。

研究人员说：“根据我们的检测统计数据，主要的感染媒介是通过电报和WhatsApp信使将特洛伊木马应用程序直接传播给受害者”。
除此之外，研究人员还发现，恶意软件中用于解析来自命令和控制服务器的命令的代码类似于Android平台上名为“对话”的开源XMPP/Jabber客户端的修改版

 

卡巴斯基的研究人员解释说：“此外，（在修改后的对话应用程序中）我们没有看到Smali注射的痕迹。”，但是“发现了dx/dexmerge编译器的痕迹，这意味着，这一次，攻击者只是将原始源代码导入到Android IDE（例如Android Studio）中，并通过自己的修改进行编译”。然而，这些修改版本的Conversations app不包含任何恶意代码，但似乎被同一组攻击者用于某些尚未发现的目的。

 

研究人员说：“这给我们带来了一个假设，即这可能是ViceLeaker背后的团队用于内部沟通或其他不明确目的的版本。对这个后门应用程序的所有检测都位于伊朗的地理位置”。研究人员称，ViceLeaker攻击活动仍在进行中，攻击者可能会通过第三方应用商店、即时通讯工具或攻击者控制的在线网页分发恶意重新打包的合法应用程序版本。

由于这类应用伪装成合法或流行的应用，强烈建议Android用户始终从谷歌Play Store等可信来源下载应用，以防止自己成为此次攻击的受害者。

然而，你也不应该信任Play Store上的每一款应用。因此，始终只使用经过验证的开发人员，以避免安装恶意应用程序。