APT C-23黑客使用新的安卓间谍软件变种攻击中东用户

一个以中东为目标的知名演员已经进化出了它的Android间谍软件,它还具有增强的能力,允许它更隐秘和更持久,同时传递看似无害的应用程序更新来保持在雷达下。
Sophos威胁研究人员Pankaj Kohli在一份声明中说,这些新变种“将新功能融入到恶意应用程序中,使其更能抵御用户的行为,用户可能会试图手动删除这些应用程序,安全和网络托管公司试图阻止访问或关闭其命令和控制服务器域。”报告于周二发布。
移动间谍软件也被昵称为VAMP、FrozenCell、GnatSpy和沙漠蝎子,至少自2017年以来,它一直是APT-C-23威胁组织的首选工具,不断迭代,具有扩展的监视功能,可以清空文件、图像、联系人和通话记录,读取来自消息应用程序的通知,记录通话(包括WhatsApp),并关闭内置安卓安全应用程序的通知。

在过去,该恶意软件是以AndroidUpdate、Threema和Telegram的名义通过假Android应用商店分发的。最新的活动也没有什么不同,因为它们采用的应用程序的形式,声称要在目标手机上安装应用程序更新、系统应用程序更新和Android Update Intelligence等名称的更新。据信,攻击者通过向目标发送一个下载链接,通过smishing消息发送间谍软件应用程序。
安装后,应用程序开始请求入侵权限,以执行一系列恶意活动,这些活动旨在绕过手动删除恶意软件的任何尝试。该应用不仅改变了图标,将其隐藏在Chrome、Google、Google Play和YouTube等热门应用后面,而且在用户点击欺诈图标的情况下,该应用的合法版本将启动,同时在后台运行监控任务。
“间谍软件在一个日益互联的世界中是一个日益增长的威胁,”科利说。“与APT-C-23相关的安卓间谍软件已经存在至少四年了,攻击者继续使用新技术开发它,以逃避检测和删除。”