Domestic Kitten惡意軟件在Android設備中傳播 攻擊目標主要為伊朗公民
責編:gltian |2018-09-11 10:07:55惡意軟件通過虛假的Android應用程序傳播,從受害者的設備中提取一系列敏感信息。已發現針對伊朗公民的移動間諜軟件活動 – 有證據表明伊朗政府可能參與其中。這項行動被研究人員稱為Domestic Kitten,到目前為止,大約有240名用戶成為惡意軟件的受害者,研究人員發現 – 其中97%的受害者是伊朗人。還有來自阿富汗,伊拉克和英國的少數受害者。
惡意軟件受害者97%在伊朗 可讀取手機通訊錄
攻擊者采用一種水坑方法,使用精心設計的虛假Android應用程序吸引感興趣的受害者。其中包括一個ISIS品牌的壁紙應用程序,一個聲稱來自合法的ANF庫爾德斯坦通訊社的新聞更新應用程序,以及一個虛假版本的Vidogram消息應用程序。
“攻擊背后的人使用假誘餌內容誘使受害者下載此類應用程序,這些應用程序實際上裝載了間諜軟件,然后收集有關它們的敏感信息,”
到目前為止,大約有240名用戶成為惡意軟件的受害者,研究人員發現 – 其中97%的受害者是伊朗人。還有來自阿富汗,伊拉克和英國的少數受害者。
“雖然受害者數量有限,但受此行動影響的人數實際上要高得多,這是因為每個受害者的移動設備中存儲的完整聯系人列表,包括全名和至少一個電話號碼,也是由攻擊者收集的。此外,由于電話,短信詳情以及實際的短信也被攻擊者記錄,數千名完全無關的用戶的私人信息也受到了損害。“
惡意軟件下載后自動讀取手機信息
下載應用程序并安裝惡意軟件后,它會獲取存儲在受害者移動設備上的聯系人列表,電話記錄,SMS消息,瀏覽器歷史記錄和書簽,受害者的地理位置,外部存儲,照片,周圍的錄音和更多。
然后,它將信息加載到AES加密的Zip歸檔文件中,并使用HTTP POST請求將其發送回命令和控制服務器。這是一個按需進程,在攻擊者發送命令時執行,例如“獲取聯系人”。
“有趣的是,日志文檔包括用于攔截受害者數據的惡意應用程序的名稱,以及應用程序代碼名稱字段,”研究人員說。“此字段包含應用程序的簡短描述,這使我們相信這是攻擊者用來立即識別受害者使用的應用程序的字段。觀察到的代碼名稱包括Daesh4(ISIS4),Military News,Weapon2,Poetry Kurdish。“
至于歸屬問題,研究人員表示,他們認為伊朗政府實體,如伊斯蘭革命衛隊(IRGC),情報部,內政部或其他部門,都是間諜活動的幕后推手。
研究人員說:
“雖然攻擊背后的行動者的確切身份仍然未經證實,但目前對目標的觀察,應用程序的性質以及所涉及的攻擊基礎設施使我們相信這一行動屬于伊朗血統。事實上,根據我們與熟悉世界這一地區政治話語的情報專家的討論,[政府]經常對這些群體進行廣泛的監視。”