“利比亚蝎子”网络间谍组织利用AlienSpy Android RAT攻击利比亚名人
该集团利用AlienSpy Android RAT对受害者进行窥探。
E安全9月27日讯 某网络间谍活动组织正将矛头指向各位利比亚名人,具体手段为利用AlienSpy(JSocket、JBIfrost、Unrecom或者Adwind)这一远程访问木马(简称RAT)感染其Android智能手机。
自2016年8月开展最初一轮攻击活动之后,被科威特安全厂商Cyberkov公司命名为“利比亚蝎子(Libyan Scorpions)”的黑客集团已经成功入侵了多位利比亚高影响力人士的Telegram账户。
最初的受害者本有机会在攻击升级前加以阻止
Cyberkov公司指出,目标受害者曾接收到来自电信公司的警告,提醒其账户曾通过西班牙IP地址进行登录。然而这位惊恐不已但却缺乏技术知识的受害者并没有变更自己的密码,反而直接从智能手机中删除了该Telegram应用,并认为这样就能够将恶意人士加以屏蔽。
通过Telegram消息发出的恶意Android APK
实际情况显然并非如此。恶意人士得以利用其账户自由地与受害者的朋友进行交谈,引诱其下载并安装一款名为“Voice Massege.apk”的Android应用,并宣称其能够帮助大家解码一条重要的语音消息。
Cyberkov公司指出,这款应用属于来自Google Play Store进行下载的合法Android应用,但由AlienSpy Android RAT进行过重新打包。其原始应用名称为URL Shortener,经鉴定后确认为de.keineantwort.android.urlshortener。
经过追踪,C&C服务器仍处于利比亚境内
研究人员在分析后发现,这款应用的命令与控制(简称C&C)服务器可回溯为位于利比亚本土的某利比亚电信商IP地址。
同一IP此前曾被用于托管一项动态DNS服务,这意味着恶意人士曾利用这套基础设施作为多种恶意活动的中枢,而非单纯托管窃取到的数据。
“利比亚蝎子集团似乎并不具备什么高水平技术,但却拥有出色的社交工程与钓鱼技巧,”Cyberkov团队指出。“攻击者们采取的手段并不是特别复杂,但其非常清楚,攻击活动无需高度复杂亦可切实起效。”
“利用恶意技术作为武器,他们能够在利比亚这样的战乱地区通过追踪受害者的物理位置对其进行监视,或者执行暗杀乃至绑架等活动,”研究人员同时表示。
E安全注:本文系E安全独家编辑报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。