黑客组织APT-C-15仍在暗中活动 发布新型间谍软件AnubisSpy

“用指尖改变世界”

趋势科技(Trendmicro)的安全研究人员最近在Google Play商店以及其他第三方应用商店中发现了7款携带网络间谍功能的恶意应用。他们将这个间谍软件命名为“AnubisSpy”，因为所有恶意应用的有效载荷都包含一个名为“watchdog”的软件包。

在对AnubisSpy的文件结构、命令控制(C&C)服务器以及攻击目标深入分析后，趋势科技表示，AnubisSpy针对了使用阿拉伯语的国家或中东地区国家，并与之前APT-C-15组织发起的Sphinx(人面狮)活动存在联系。

Sphinx活动活跃于2014年6月到2015年11月期间，主要目标是中东地区国家，目标是窃取敏感数据，相关攻击活动最早可以追溯到2011年12月。

分析证实，AnubisSpy与Sphinx活动中使用恶意软件有很多相似之处，这包括：

相似的文件结构;

共享C&C服务器;

共享JSON文件解密技术;

类似的目标(高度集中在中东国家)。

研究人员表示，AnubisSpy可以窃取消息(SMS)、照片、视频、联系人、电子邮件帐户、日历事件以及浏览器历史记录(包括谷歌Chrome浏览器和三星Internet浏览器)，还可以截图和录制音频，包括录制通话。

此外，它还可以通过安装在设备上的应用程序监视受害者，其中的一个列表在其配置文件中可以更新，这包括Skype、WhatsApp、Facebook和Twitter等主流社交软件。

在收集到需要的数据后，AnubisSpy会将数据加密并发送到C&C服务器。另外，AnubisSpy还具备“自毁”能力，它可以发送指令来卸载已安装的恶意应用文件，进而擦除其进行的间谍活动痕迹。

研究人员还指出，AnubisSpy的代码构建十分严谨，这说明它的开发者具备很高的编程能力。AnubisSpy拥有多个功能模块，且每个模块都是独立的。

根据趋势科技的说法，这些恶意早在2015年4月就已经开发完毕，并于2017年5月签署了最新版本。恶意应用伪装成社交新闻、购物、医疗和娱乐应用程序，其传播不仅利用了Google Play商店，还包括一些第三方应用商店。研究人员认为，攻击者这样运作很可能是为了扩大共计覆盖范围。

本文由黑客视界综合网络整理，图片源自网络;转载请注明“转自黑客视界”，并附上链接。