趋势科技(Trendmicro)最近发现了一款新型的移动恶意软件GnatSpy,他们认为这是恶意软件VAMP的一个新变种。同时也表明,黑客组织“双尾蝎(APT-C-23)”仍在活跃,并且在不断改进其攻击武器。
360公司旗下天眼实验室(SkyEye)和追日团队“HeliosTeam”在今年早些时候首次对“双尾蝎”进行了披露。该组织自去年5月份开始,一直在针对中东地区国家教育机构、军事机构等重要领域发起持续攻击,攻击平台主要是Windows和Android。
VAMP则是其在攻击活动中使用的恶意软件之一,曾在10月份被发现了一个新变种,被称为 FrozenCell。
研究人员表示,VAMP用于获取受感染设备的各种类型数据。例如,图像、短信、联系人和通话记录等。
GnatSpy的组件和功能与VAMP非常相似,例如运用了VAMP的一些C&C域。但GnatSpy的结构与之前的变种有很大不同,更多的接收器和服务已经被添加,使得GnatSpy更加强大和模块化。
其他变化还包括:
使用了更多的Java注释和反射方法,试图逃避检测;
VAMP的命令和控制(C&C)服务器网址在代码中以简单的明文形式列出,在GnatSpy中已经被用于获取C&C服务器网址的函数调用所取代;
许多新的C&C域名被注册,这些域名以电视剧中的角色名称或演员名称命名,比如 “lagertha-lothbrok(来自美剧《维京传奇》)”;
使用的Apache版本也已经从4.7更新到2.4.18;
还新增了几个针对较新的Android版本(Android 6.0和Android 7.0)的函数调用。
GnatSpy不仅在结构上得到了很大改善,并且还能够从受感染设备上获取更多的数据。例如,电池电量、内存和存储使用情况以及SIM卡状态等。
趋势科技指出,既然黑客组织的活动已经被研究人员发现并记录了下来,就表明该组织并没有退出“舞台”,并会持久发展下去。GnatSpy的出现则证实“双尾蝎”不仅仍在继续其非法活动,而且还在提高其恶意软件的攻击能力。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
来源:网络攻防
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!