详细内容或原文请订阅后点击阅览
新的间谍软件活动针对阿联酋注重隐私的 Android 用户
ESET 研究人员发现,针对阿拉伯联合酋长国的用户,散布伪装成 Android Signal 和 ToTok 应用程序的间谍软件的活动
来源:WeLiveSecurity _恶意软件ESET 研究人员发现了两个针对对安全通信应用程序感兴趣的个人的 Android 间谍软件活动,即 Signal 和 ToTok。这些活动通过欺骗性网站和社交工程传播恶意软件,目标似乎是阿拉伯联合酋长国 (UAE) 的居民。
我们的调查发现了两个以前未记录的间谍软件系列 - Android/Spy.ProSpy,冒充 Signal 和 ToTok 消息应用程序的升级或插件;和 Android/Spy.ToSpy,模仿 ToTok 应用程序。
官方应用商店中均未提供包含间谍软件的应用程序;两者都需要从冒充合法服务的第三方网站手动安装。值得注意的是,分发 ToSpy 恶意软件系列的网站之一模仿了 Samsung Galaxy Store,诱使用户手动下载并安装恶意版本的 ToTok 应用程序。
安装后,这两个间谍软件系列都会保持持久性,并不断从受感染的 Android 设备中窃取敏感数据和文件。有趣的是,我们发现 ToSpy 以及其他文件类型都以用于存储 ToTok 数据备份的 .ttkmbackup 文件扩展名为目标。这表明对提取聊天历史或应用程序数据感兴趣。正如发布时仍处于活动状态的 C&C 服务器所表明的那样,ToSpy 活动正在进行中。
.ttkmbackup作为应用防御联盟合作伙伴,我们与 Google 分享了我们的发现。 Google Play Protect 会自动保护 Android 用户免受此间谍软件的已知版本的侵害,该功能在具有 Google Play 服务的 Android 设备上默认处于开启状态。
Google Play 保护这篇博文的要点: