APT C-23黑客组织Android间谍应用变种，重点攻击中东用户

以攻击中东目标而闻名的黑客组织 APT-C-23 再次改进了其 Android 间谍软件，增强了隐蔽性和持久性，能够伪装成看似无害的应用程序，在用户Android终端上长期地潜伏。

该Android间谍软件也被称为VAMP、FrozenCell、GnatSpy和Desert Scorpion，移动间谍软件至少自 2017 年以来一直是 APT-C-23 黑客组织的首选工具，其持续迭代扩展监视功能，包括文件、照片、联系人、通话记录，以及Android内部安全通知等。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，之前该Android恶意应用以 AndroidUpdate、Threema 和 Telegram 为幌子，通过虚假的 Android 应用程序商店进行分发。最新的攻击活动没有什么不同，也是以应用程序的形式，生成用户手机上的应用需要更新，此外，攻击者还通过短信向目标发送下载链接来传送间谍软件应用程序。

间谍应用安装后，该应用将开始请求入侵性权限，以便执行后续一系列的恶意行动，这些行动旨在抵御用户手动删除该恶意应用，以保证应用能持续在用户Android终端停留。该间谍应用还会更新它的应用图标，伪造成Chrome、Google、YouTube等主流应用程序，当用户点击到这些应用时，间谍应用将启动真实的应用让用户使用，并在后台偷偷运行间谍程序。

在当今复杂的网络安全形势下，移动应用由于其广泛的用户覆盖，已经成为APT组织进行间谍监听活动的最佳的攻击点，与 APT-C-23 相关的 Android 间谍软件已经存在至少四年了，黑客组织还在不断地用新技术迭代升级，使得间谍应用具有非常强的反检测能力和持久驻留能力，在未来将成为巨大的安全威胁。