12月7日，研究人員公布了一個(gè)安卓間諜軟件的功能。該軟件由一個(gè)受制裁的伊朗黑客組織開發(fā)，可以讓攻擊者從流行的即時(shí)通訊應(yīng)用程序中監(jiān)視私人聊天，強(qiáng)迫Wi-Fi連接，自動(dòng)接聽特定號(hào)碼的來電，以竊聽通話。

今年9月，美國(guó)財(cái)政部對(duì)伊朗黑客組織APT39（又名Chaffer、ITG07或Remix Kitten）實(shí)施制裁。在制裁的同時(shí)，美國(guó)聯(lián)邦調(diào)查局（FBI）發(fā)布了一份威脅分析報(bào)告，描述了Rana Intelligence Computing公司使用的幾種工具，該公司充當(dāng)了APT39組織進(jìn)行惡意網(wǎng)絡(luò)活動(dòng)的幌子。

FBI正式將APT39的活動(dòng)與Rana聯(lián)系起來，詳細(xì)列出了8套獨(dú)立且不同的惡意軟件。這些惡意軟件是該組織用來進(jìn)行電腦入侵和偵察活動(dòng)的，其中包括一款名為“optimizer.apk”的Android間諜軟件，具有信息竊取和遠(yuǎn)程訪問功能。

該機(jī)構(gòu)表示：“APK植入程序具有信息竊取和遠(yuǎn)程訪問功能，在用戶不知情的情況下，可以在Android設(shè)備上獲得根用戶訪問權(quán)限?！?/p>

“主要功能包括從C2服務(wù)器檢索HTTP GET請(qǐng)求、獲取設(shè)備數(shù)據(jù)、壓縮和AES加密收集的數(shù)據(jù)，并通過HTTP POST請(qǐng)求將其發(fā)送到惡意C2服務(wù)器?！?/p>

ReversingLabs在最新發(fā)表的一份報(bào)告中，對(duì)這種植入程序（“ com.android.providers.optimizer”）進(jìn)行了更深入的研究。

據(jù)研究人員Karlo Zanki稱，這種植入程序不僅可以出于政府目的進(jìn)行音頻錄制和拍攝照片，還可以添加自定義的Wi-Fi接入點(diǎn)并強(qiáng)制受損設(shè)備連接。

Zanki在分析報(bào)告中表示：“這項(xiàng)功能的引入可能是為了避免因目標(biāo)手機(jī)賬戶上數(shù)據(jù)流量的異常使用而被發(fā)現(xiàn)?！?/p>

除此之外，它還可以自動(dòng)接聽來自特定電話號(hào)碼的電話，從而允許攻擊者按需打開對(duì)話。

除了支持接收通過SMS消息發(fā)送的命令外，聯(lián)邦調(diào)查局引用的最新“optimizer”惡意軟件還濫用了輔助功能，以訪問即時(shí)消息應(yīng)用程序，如WhatsApp、Instagram、Telegram、Viber、Skype和一個(gè)名為Talaeii的非官方伊朗電報(bào)客戶端。

值得注意的是，在伊朗人權(quán)中心（CHRI）以安全考慮為由披露消息后，Telegram此前曾在2018年12月向Talaeii和Hotgram的用戶發(fā)出“不安全”警告。

Zanki總結(jié)說：“當(dāng)目標(biāo)鎖定個(gè)人時(shí)，攻擊者通常希望監(jiān)控他們的溝通和行動(dòng)。手機(jī)最適合實(shí)現(xiàn)這樣的目標(biāo)，因?yàn)榇蠖鄶?shù)人都會(huì)隨身攜帶。由于安卓平臺(tái)占據(jù)了全球智能手機(jī)最大的市場(chǎng)份額，因此它是移動(dòng)惡意軟件的主要目標(biāo)?！?/p>

消息及封面來源：The Hacker News?；譯者：芋泥啵啵奶茶。

本文由?HackerNews.cc?翻譯整理。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/