研究人员发现PhoneSpy恶意软件在监视韩国公民

一场正在进行的移动间谍软件活动被发现，它利用一个由23个恶意安卓应用组成的家族窥探韩国居民，以窃取敏感信息并远程控制这些设备

Zimperium研究人员Aazim Yaswant说：“有1000多名韩国受害者，这场入侵行动背后的恶意组织已经可以访问他们设备上的所有数据、通信和服务。”。“受害者向恶意行为者广播他们的私人信息，没有任何迹象表明有什么不对劲。”

总部位于达拉斯的移动安全公司$##将此次活动称为“PhoneSpy”

Ziperium没有将该间谍软件归因于已知的威胁行为人。“围绕PhoneSpy的证据显示，一个熟悉的框架已经流传多年，由个人进行更新，并在私人社区和后台渠道中共享，直到组装成我们今天看到的这种变体，”该公司端点安全产品策略总监理查德·梅里克告诉《黑客新闻》

这些流氓应用被发现伪装成看似无害的生活方式工具，其目的从学习瑜伽、浏览照片到观看电视和视频，恶意软件工件不依赖谷歌Play Store或其他第三方非官方应用市场，这意味着一种社会工程或网络流量重定向方法可以诱骗用户下载应用程序

安装后，该应用程序在打开仿冒网站之前请求广泛的权限，该网站的设计类似于Facebook、Instagram、Google和Kakao Talk等流行应用程序的登录页面。然而，试图登录的用户会收到一条HTTP 404 Not Found消息，但实际上，他们的凭据会被窃取并过滤到远程命令和控制（C2）服务器

“许多应用程序都是真实应用程序的外观，没有任何基于用户的广告功能，”Yaswand解释道。“在其他一些情况下，比如以照片查看器的形式发布广告的更简单的应用程序，当PhoneSpy间谍软件在后台工作时，该应用程序将按照广告的方式工作。”

与其他特洛伊木马一样，PhoneSpy滥用其固有的权限，使威胁参与者能够访问摄像头拍照、录制视频和音频、获取精确的GPS位置、查看设备上的图片，以及提取短信、联系人、通话记录，甚至使用攻击者控制的文本向手机发送短信。收集的数据随后与C2服务器共享

“移动间谍软件是对付我们手中数据的强大而有效的武器。随着我们的手机和平板电脑继续成为数字钱包和身份证、多因素身份验证的形式，以及我们职业和个人生活数据王国的钥匙，想要获得准确数据的恶意行为者将发现新的威胁。”“我想偷它，”梅里克说

“PhoneSpy和其他移动间谍软件的例子表明，这些工具集和框架可以通过更新的代码和功能一次又一次地被分解和重建，让攻击者占据上风。而且，它只会越来越受欢迎，从针对异见人士的民族国家到因他说，这些关键设备大多缺乏先进的安全措施。"