外媒1月19日消息,電子前沿基金會Frontier Foundation和安全公司Lookout聯(lián)合調(diào)查發(fā)現(xiàn)與黎巴嫩總安全局有關(guān)的監(jiān)控間諜活動Dark Caracal APT從世界各地的Android手機和Windows PC中竊取大量數(shù)據(jù),并且最近有黑客組織將Dark Caracal間諜軟件平臺出售給某些國家用來監(jiān)聽。據(jù)悉,該間諜活動通過制造大量虛假Android應用程序并利用社交工程(如釣魚郵件或虛假的社交網(wǎng)絡信息)來傳播含有木馬的惡意軟件,過去的六年里已牽涉到來自 21 個國家的記者、軍事人員、公司和其他目標的敏感信息(短信、通話記錄、檔案等)。
Lookout 發(fā)表的一份報告中詳細分析了 Dark Caracal:
Dark Caracal 實施的攻擊鏈主要依靠社交工程,比如黑客在虛假應用程序(如 Signal 和 WhatsApp )中包含定制的 Android 惡意軟件,從而達到向受害用戶發(fā)送惡意信息的目的。
Dark Caracal 影響范圍
Lookout 透露,其研究人員發(fā)現(xiàn)了一個名為 Pallas 的定制型惡意軟件,可能是 Dark Caracal 間諜活動工具包中的一個重要組件。Pallas被用來劫持目標智能手機,并通過出租給政府的Dark Caracal平臺進行分發(fā)和控制。目前獲取Pallas的主要方法是從非官方軟件應用商店安裝受感染的應用程序,比如WhatsApp和Signal ripoffs 。不過Pallas并沒有利用 ” 零日” 來接管設備,而是依靠欺騙用戶安裝惡意應用程序,授予惡意軟件各種權(quán)限。一旦 Pallas 到位,就可以秘密地從手機的麥克風中錄制音頻、 揭露 gizmo 的位置給監(jiān)視者、并將手機所包含的所有數(shù)據(jù)泄露給黑客。
此外,Dark Caracal平臺還提供了另一種監(jiān)視工具 ——FinFisher樣本,它被出售給政府,用于監(jiān)視公民。而在桌面端,Dark Caracal 提供了一個 delphil 編碼的 Bandook 木馬,該木馬之前在 Manul 操作系統(tǒng)中已被識別,可以有效地征用 Windows 系統(tǒng)。
Lookout 表示目前正在試圖尋找 Dark Caracal 背后的黑客組織,并預計今年夏天調(diào)查會有進展。