APT 黑客通过叙利亚电子政务门户分发 Android 木马

在一项通过叙利亚电子政务门户网站部署 Android 恶意软件的新活动中，一名高级持续威胁 (APT) 参与者已被追踪，这表明升级后的武器库旨在危害受害者。

“据我们所知，这是该组织首次被公开观察到使用恶意 Android 应用程序作为其攻击的一部分，”趋势科技研究人员郑宇东、Fyodor Yarochkin 和 Steven Du在周三发布的一篇技术文章中表示。

StrongPity也被微软代号为Promethium，据信自 2012 年以来一直活跃，通常专注于土耳其和叙利亚的目标。2020 年 6 月，间谍威胁参与者与一波利用水坑攻击和篡改安装程序的活动有关，这些活动滥用合法应用程序的流行度，用恶意软件感染目标。

“Promethium 多年来一直具有弹性，”思科 Talos去年透露。“它的活动已经多次曝光，但这还不足以让背后的演员让他们停下来。该组织即使在曝光后也不克制开展新活动的事实表明他们完成任务的决心。”

最新的操作没有什么不同，因为它强调了威胁参与者将良性应用程序重新打包成木马变体以促进攻击的倾向。

该恶意软件伪装成叙利亚电子政务 Android 应用程序，据说是在 2021 年 5 月创建的，该应用程序的清单文件（“ AndroidManifest.xml ”）被修改为明确请求手机的额外权限，包括阅读能力联系人、写入外部存储、保持设备唤醒、访问有关蜂窝和 Wi-Fi 网络的信息、精确位置，甚至允许应用程序在系统完成启动后立即启动。

此外，恶意应用程序旨在在后台执行长时间运行的任务，并触发对远程命令和控制 (C2) 服务器的请求，该服务器以包含设置文件的加密负载进行响应，该文件允许“恶意软件”根据配置更改其行为”并更新其 C2 服务器地址。

最后，“高度模块化”的植入程序能够清除存储在受感染设备上的数据，例如联系人、Word 和 Excel 文档、PDF、图像、安全密钥以及使用 Dagesh Pro Word Processor (.DGS) 保存的文件 等，所有这些都被泄露返回到 C2 服务器。

尽管没有关于 StrongPity 在攻击中使用恶意 Android 应用程序的已知公开报道，但趋势科技对攻击者的归因源于使用 C2 服务器，该服务器以前曾用于与黑客组织有关的入侵，特别是AT&T 的 Alien 记录的恶意软件活动2019 年 7 月的实验室利用受感染版本的 WinBox 路由器管理软件、WinRAR 和其他受信任的实用程序来破坏目标。

研究人员说：“我们认为，威胁行为者正在探索多种向潜在受害者提供应用程序的方式，例如使用虚假应用程序和使用受感染的网站作为诱骗用户安装恶意应用程序的水坑。”

“通常，这些网站会要求其用户直接将应用程序下载到他们的设备上。为此，这些用户需要在他们的设备上安装来自‘未知来源’的应用程序。这绕过了‘信任- Android 生态系统的链，并使攻击者更容易传播额外的恶意组件，”他们补充道。