提供更好的保护GooglePlay推出APT监控恶意软件

原创不易 请随手点击关注

本文由Rehoo团队Leery原创，无授权禁转！(图片来自网络）

图片来自网络

研究人员称，推动监控恶意软件的黑客最近通过在谷歌官方Play游戏市场上托管三个恶意应用程序。谷歌收到他们的存在通知后删除了这些应用程序。

移动安全公司Lookout的情报负责人Michael Flossman说道，mAPT可能来自两个分别针对中东地区人群的组织，Michael Flossman，移动安全公司Lookout的威胁情报负责人。据Google Play的数据显示，这三款应用程序共收到约650到1,250次下载。这些都让攻击者对受感染手机获取控制权。

应用程序来自一个名为ViperRat和来自Desert Scorpion的第三个应用程序，代表了谷歌官方市场上少有mAPT之一。攻击者的成功主要是模块化设计，其中恶意功能不是从Play商店首先下载的初始版本的一部分。相反，监控能力进入后期下载的第二阶段。以前，这两个黑客组织都主要依靠社交网络来欺骗目标从第三方市场下载应用程序。获得Play中托管的应用程序的能力，因为它为目标提供了更多保证，确保这些应用程序是合法的。

图片来自网络

Flossman在一封电子邮件中写道：“这些技术包括不传送应用程序的恶意功能，直到由某些行为触发的第二阶段。Surveillanceware能够将恶意功能隐藏在社交网络和聊天应用程序中，因为它们请求许多相同的许可权。”

Desert Scorpion在一个名为Dardesh的应用程序中发布，该应用程序被下载了大约100次。它提供了一套完整的监视功能，包括：

将攻击者指定的文件上传到命令和控制服务器

记录周围的音频，通话和视频

检索账户信息，如电子邮件地址

检索联系人

如果有任何其他APK下载到外部存储，请移除其自身的副本

调用攻击者指定的号码

卸载应用程序

隐藏它的图标

检索外部存储器上的文件列表

加密一些exfiltrated数据

获取已安装应用程序的列表

获取设备元数据

检查自己以获取可启动活动的列表

检索在外部存储中找到的PDF，txt，doc，xls，xlsx，ppt和pptx文件

发送简讯

检索简讯

跟踪设备位置

通过带外文本消息处理有限的攻击者命令

检查设备是否生根

如果在华为设备上运行，尝试将其自身添加到能够在关闭屏幕的情况下运行的受保护应用程序列表

图片来自网络

研究人员认为，这两个分别称为沙漠蝎子与冰冻细胞的程序都是由一个名为APT-C-23的团体开发的，或者至少是由他们操作的。沙漠蝎子正被用来瞄准中东地区的个人，特别是巴勒斯坦地区的个人。

Lookout观察到Dardesh接收到两次更新，第一次是在2月26日，第二次是在3月28日.Dardesh的第二阶段以通用设置应用程序的形式出现。

ViperRat恶意软件通过VokaChat和Chattak提供，它们分别获得500到1,000次下载和50到100次下载。早期的ViperRat运动针对以色列国防军成员，在第三方市场发布应用程序。并最终试图诱导他们下载特洛伊木马聊天应用程序。与早期的ViperRat广告系列的聊天应用程序不同，VokaChat和Chattak包含全功能的聊天功能，这一功能使目标不太可能怀疑他们安装了恶意软件。

图片来自网络

Chattak包含一个功能，Lookout并不确定它是哪一个，它向其他用户披露了某些用户的电子邮件地址和其他详细信息。许多电子邮件地址表明目标与沙特阿拉伯有关系，但Lookout不确定这些地址是否来自实际安装恶意软件的人群。

由于很多人对Google Play市场的信任，这三个应用程序对Android用户的威胁越来越大。一款可从Google Play商店下载的恶意应用程序是非常危险的，Flossman在周一上午发布的详细介绍ViperRat的博客文章中写道。这令我们感到震惊，因为随着攻击者不断找到新的方式为他们的恶意应用增加合法性，他们的网络钓鱼攻击将变得更加隐蔽。”

欢迎关注微信公众号：RehooTech