|
Post by account_disabled on Dec 28, 2023 9:56:51 GMT 5.5
卡巴斯基研究人员发现 “PhantomLance”是一个复杂的恶意活动,针对与 Ocean Lotus 网络恐怖组织有关联的 Android 设备用户。该活动至少自 2015 年以来一直活跃 并且目前仍在运营中 使用各种复杂的间谍软件版本来收集受害者的信息。并且有很多巧妙的方法可以传播它,例如通过 Google Play 上的许多应用程序。 2019年7月,一位安全专家发布了一份关于Google Play中发现的新间谍软件的报告,卡巴斯基对该报告非常感兴趣,因为该间谍软件具有意想不到的功能。它的复杂程度和行为与应用商店中的其他木马不同。卡巴斯基研究人员还在 Google Play 上发现了另一个类似的恶意软件,恶意软件设计者通常会将恶意应用程序上传到应用程序商店。然后投资推广应用程序以增加下载量。也就是增加受害者人数。但在这种情况下,情况有所不同。威胁行为者没有兴趣广泛传播感染。 这使得研究人员预计这是一次有针对性的攻击。进一步的研究揭示了该恶意 Whatsapp 号码列表 软件的多个版本具有相似的代码。 功能相似。间谍软件的主要功能是收集信息。其他基本功能包括位置识别。访问通话信息、联系信息、短信,该应用程序还收集有关其他应用程序名称的信息。安装在设备上的 重要的设备信息,例如型号和操作系统版本。威胁参与者还可以下载、创建和修改有效负载以适应设备环境,例如 Android 版本。以及设备上已安装的应用程序 这样,犯罪者就可以避免不必要的功能使应用程序超载。但它也可以存储数据。 进一步的研究表明 《Phantom Lance》在 Google Play 和 APKpure 等各种平台和市场上分发,使该应用程序看起来合法。威胁参与者通过创建 Github 帐户来伪造开发者资料。此外,市场还有一个过滤应用程序的流程。然后,威胁行为者上传不包含恶意负载的应用程序的第一个版本。 不过后来更新的时候 将会有恶意有效负载和执行有效负载的代码。 据卡巴斯基安全网络称,自 2016 年以来,在印度、越南、孟加拉国和印度尼西亚,已观察到针对 Android 设备的攻击尝试多达 300 起。越南是未遂袭击次数最多的国家。并在活动中发现了一些恶意应用程序 《幻影之枪》仅使用越南语。 使用工具查找不同类型恶意代码之间的相似性 这使得研究人员能够确定 Phantom Lance 有效负载与 Ocean Lotus 的 Android 攻击活动类似。至少自 2013 年以来,它一直是威胁制造者。Ocean Lotus针对Windows和MacOS系统的恶意活动也发现了明显的重叠。卡巴斯基研究人员因此认为幻影之枪与海莲花有关。 卡巴斯基已向各个应用商店报告了其调查结果,Google Play 确认已删除所有应用程序。 Alexei Fersch,安全研究员 卡巴斯基全球分析和研究团队表示:“Phantom Lance 是沉默且无与伦比的威胁行为者进步的杰出例子。
|
|