压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

據(jù)卡巴斯基稱，一個正在進(jìn)行的，為期數(shù)年的，針對東南亞個人的網(wǎng)絡(luò)間諜活動——PhantomLance的數(shù)百次惡意軟件攻擊都成功繞過了Google Play過濾器。

根據(jù)卡巴斯基的監(jiān)測，PhantomLance行動至少從2015年開始活躍，幕后操縱者是越南政府支持的APT小組OceanLotus（aka APT32）。

據(jù)Fireeye 4月22日發(fā)布的報告（https://www.fireeye.com/blog/threat-research/2020/04/apt32-targeting-chinese-government-in-covid-19-related-espionage.html）顯示，該APT小組最近針對武漢省政府和中國應(yīng)急管理部展開持續(xù)入侵活動（釣魚電子郵件，上圖），以竊取與COVID-19的起源有關(guān)的更多信息。

而卡巴斯基的報告尤其值得有關(guān)網(wǎng)絡(luò)安全部門人員高度重視：釣魚郵件也許只是APT32攻擊矢量的冰山一角，APT32的間諜軟件已經(jīng)成功突破了包括Google Play在內(nèi)的多個平臺的安全審核機(jī)制。

卡巴斯基指出，PhantomLance具有多種間諜軟件版本，其復(fù)雜程度各不相同，旨在竊取地理位置，呼叫日志，聯(lián)系人訪問，應(yīng)用程序列表和SMS訪問等信息，以及下載其他惡意負(fù)載。

它們被分發(fā)到包括Google Play和APKpure在內(nèi)的多個平臺上，小組成員竭盡全力掩蓋蹤跡，包括在GitHub上創(chuàng)建虛假的開發(fā)者資料以及其他策略。

在Google Play上架的，偽裝成瀏覽器清理工具的間諜軟件

卡巴斯基解釋說：

上載到應(yīng)用程序市場的應(yīng)用程序的初始版本不包含任何惡意有效負(fù)載或用于刪除有效負(fù)載的代碼。這些版本被接受是因為它們不包含任何可疑內(nèi)容，但是后續(xù)版本都更新了惡意有效負(fù)載以及刪除和執(zhí)行這些有效負(fù)載的代碼。我們能夠在所有示例中確認(rèn)這種行為，并且能夠找到帶有和不帶有有效載荷的應(yīng)用程序的兩個版本。

卡巴斯基已經(jīng)在印度，越南，孟加拉國和印度尼西亞發(fā)現(xiàn)了大約300次Android設(shè)備感染嘗試，越南是最受攻擊的國家之一，同時也是惡意應(yīng)用開發(fā)的地點(diǎn)。

根據(jù)卡巴斯基的說法，PhantomLance的有效負(fù)載至少與Android Ocean的OceanLotus活動中的有效負(fù)載相似，并且與APT小組的Windows和MacOS惡意軟件重疊。

這個攻擊活動是一個特別典型的例子，說明了高級威脅參與者如何進(jìn)一步進(jìn)入更深的海域并且越來越難被發(fā)現(xiàn)。卡巴斯基安全研究員Alexey Firsh指出，PhantomLance活動已經(jīng)開展了五年多了，威脅參與者使用先進(jìn)的技術(shù)成功地多次繞過了應(yīng)用商店的過濾器。

我們還可以看到，使用移動平臺作為主要感染點(diǎn)正變得越來越流行，這一領(lǐng)域越來越多的參與者在競速發(fā)展，事態(tài)發(fā)展凸顯了持續(xù)改進(jìn)威脅情報和支持服務(wù)的重要性，這可以幫助跟蹤威脅參與者并發(fā)現(xiàn)各種攻擊活動的關(guān)聯(lián)。

參考資料：