印度制造Android间谍移动应用监控非洲的人权保护人士

一位著名的多哥人权卫士已成为间谍软件目标，这标志着该黑客组织首次涉足非洲的数字监控。国际特赦组织将秘密攻击活动与一个名为 Donot Team （又名 APT-C-35）的团伙联系起来，该组织与印度和巴基斯坦的网络攻击有关，同时还确定了将该组织的基础设施与一家印度公司联系起来的明显证据称为 Innefu Labs。

从 2019 年 12 月开始，这位不愿透露姓名的激进分子在虚假 Android 应用程序和装载间谍软件的电子邮件的帮助下，在两个月的时间内将锁定了目标。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，对 WhatsApp 和电子邮件的持续攻击试图诱使受害者安装一个伪装成安全聊天应用程序的恶意应用程序，该应用程序实际上是一个定制的 Android 间谍软件，旨在提取一些存储在激进分子手机上的最敏感和个人信息。

这些消息来自与在查谟和克什米尔州注册的印度电话号码相关联的 WhatsApp 帐户。安装后，恶意软件采用名为“ChatLite”的应用程序的形式，攻击者可以获得访问相机和麦克风、收集存储在设备上的照片和文件的权限，甚至在发送和抓取 WhatsApp 消息。

但是，当上述尝试失败时，攻击者切换到替代感染链，其中从 Gmail 帐户发送的电子邮件包含带有恶意软件的 Microsoft Word 文档，该文档利用现已修补的远程代码执行漏洞 ( CVE-2017-0199 ) 来攻击删除一个成熟的 Windows 间谍工具，称为 YTY 框架，它授予对受害者机器的完全访问权限。

安全研究人员称，间谍软件可用于从受感染的计算机和任何连接的 USB 驱动器中窃取文件、记录击键、定期对计算机进行屏幕截图以及下载其他间谍软件组件。

尽管 Innefu Labs 并未直接牵涉到这一事件，但国际特赦组织表示，它发现了一个域“server.authshieldserver.com”，该域指向位于德里的网络安全部门使用的 IP 地址（122.160.158.3）公司。在与非政府组织分享的一份声明中，Innefu Labs 否认与 Donot Team APT 有任何联系，并补充说他们不知道他们的 IP 地址被用于所谓的活动。