APT C-23黑客使用新的Android间谍软件变体来瞄准中东用户

一个以打击中东目标而闻名的威胁行为者再次发展了其Android间谍软件，其增强的功能使其更隐蔽，更持久，同时冒充看似无害的应用程序更新，以保持在雷达之下。

Sophos威胁研究员Pankaj Kohli在周二发布的一份报告中表示，新变体"将新功能整合到他们的恶意应用程序中，使其对用户的行为更具弹性，用户可能会尝试手动删除它们，以及试图阻止访问或关闭其命令和控制服务器域的安全和网络托管公司。

移动间谍软件也被称为VAMP，FrozenCell，GnatSpy和Desert Scorpion，至少自2017年以来一直是APT-C-23威胁组的首选工具，连续迭代具有扩展的监视功能，可以清空文件，图像，联系人和通话记录，从消息传递应用程序读取通知，记录通话（包括WhatsApp）以及关闭来自内置Android安全应用程序的通知。


过去，该恶意软件一直以AndroidUpdate，Threema和Telegram为幌子通过虚假的Android应用商店分发。最新的活动没有什么不同，因为它们采用应用程序的形式，这些应用程序旨在以应用程序更新，系统应用程序更新和Android更新智能等名称在目标手机上安装更新。据信，攻击者通过发送下载链接来向目标发送间谍软件应用程序。

安装后，应用开始请求侵入性权限以执行一系列恶意活动，这些活动旨在跳过任何手动删除恶意软件的尝试。该应用程序不仅将其图标更改为隐藏在Chrome，Google，Google Play和YouTube等流行应用程序后面，如果用户单击欺诈性图标，则会启动该应用程序的合法版本，同时在后台运行监视任务。

"在一个日益互联的世界中，间谍软件是一个日益严重的威胁，"Kohli说。"与APT-C-23相关的Android间谍软件已经存在了至少四年，攻击者继续使用逃避检测和删除的新技术来开发它。