注意:新发现的Android间谍软件冒充Telegram和Threema应用程序

一个至少自2017年以来以在中东发动攻击而闻名的黑客组织最近被发现假冒合法的即时通讯应用Telegram和Threema，用一种新的、之前没有文档记录的恶意软件感染安卓设备。

“与2017年记录的版本相比，Android/SpyC23。网络安全公司ESET在周三的一份分析报告中说:“A已经扩展了间谍功能，包括短信应用程序的阅读通知，通话录音和屏幕录音，以及新的隐身功能，比如屏蔽内置安卓安全应用程序的通知。”

首先详细的奇虎360在2017年在双尾蝎子的绰号(又名APT-C-23或沙漠蝎子),移动恶意软件被认为是“surveillanceware”的监视设备能力有针对性的个人,漏出通话记录、联系人、位置信息、照片、和其他敏感文件。

2018年，赛门铁克(Symantec)发现了该活动的一个更新版本，它使用一种恶意媒体播放器作为诱饵，从设备中获取信息，并诱骗受害者安装额外的恶意软件。

今年早些时候，Check Point Research详细显示了APT-C-23活动的新迹象，当时哈马斯运营商在Facebook、Instagram和Telegram上假扮少女，引诱以色列士兵在他们的手机上安装受恶意软件感染的应用程序。

ESET的间谍软件详细的最新版本扩展了这些特性,包括社交媒体收集信息的能力和消息传递应用程序通过屏幕记录和截图,甚至捕获传入和传出调用WhatsApp和阅读的文本通知从社交媒体应用程序,包括WhatsApp,推出,Facebook, Skype和Messenger。

当受害者访问一个名为“DigitalApps”的假冒Android应用程序商店，并下载Telegram、Threema和weMessage等应用程序时，这种感染就开始了，这表明该组织假冒消息应用程序的动机是为了“证明恶意软件请求的各种权限是正当的”。

除了请求读取通知的入侵权限，关闭谷歌Play Protect，并以安全和隐私功能为幌子记录用户的屏幕，恶意软件还与它的命令控制(C2)服务器通信，注册新感染的受害者，并传输设备信息。

C2服务器通常伪装成正在维护的网站，还负责将命令传递给受损的手机，手机可以用来录制音频、重启Wi-Fi、卸载安装在设备上的任何应用程序等。

更重要的是，它还配备了一个新功能，可以在创建黑屏覆盖以掩盖通话活动的同时偷偷打电话。

“我们的研究表明APT-C-23小组仍然活跃，增强了其移动工具集，并运行新的操作。Android / SpyC32。该组织最新的间谍软件版本有几个改进，使其对受害者更危险。

近年来，从欺诈的第三方应用商店下载的应用一直是Android恶意软件的渠道。坚持使用官方消息来源以限制风险是非常重要的，并且在安装应用程序之前要仔细审查应用程序所要求的许可。