以色列Android用户成为“RedAlert – Rocket Alerts”应用程序恶意版本的目标,该应用程序虽然提供了承诺的功能,但在后台充当间谍软件。RedAlert – Rocket Alerts是一款合法的开源应用程序,以色列公民使用它来接收针对该国的来袭火箭弹的通知。
该应用程序非常受欢迎,在Google Play上的下载量超过一百万次。自从哈马斯恐怖分子上周在以色列南部发动袭击,使用数千枚火箭弹以来,随着人们寻求有关其地区即将发生的空袭的及时警告,对该应用程序的兴趣激增。
据Cloudflare称,动机和来源不明的黑客正在利用人们对该应用程序日益浓厚的兴趣以及对攻击的恐惧来分发安装间谍软件的假版本。该恶意版本是从“redalerts[.]me”网站分发的,该网站创建于2023年10月12日,包含两个用于下载 iOS和 Android平台应用程序的按钮。
iOS下载会将用户重定向到 Apple App Store上的合法项目页面,但Android按钮会直接下载要安装在设备上的APK文件。Cloudflare发现该应用程序向受害者请求额外权限。启动后,该应用程序会启动一个后台服务,该服务会滥用这些权限来收集数据,在CBC模式下使用AES对其进行加密,然后将其上传到硬编码的IP地址。
间谍软件警报
下载的APK使用 真正的RedAlert应用程序的合法代码,因此它包含所有常规功能,并显示为合法的火箭警报工具。
然而,Cloudflare 发现该应用程序向受害者请求额外权限,包括访问用户的联系人、号码、短信内容、已安装软件列表、通话记录、电话 IMEI、登录的电子邮件和应用程序帐户等。
启动后,该应用程序会启动一个后台服务,该服务会滥用这些权限来收集数据,在 CBC 模式下使用 AES 对其进行加密,然后将其上传到硬编码的 IP 地址。
该应用程序还具有反调试、反仿真和反测试机制,可保护其免受研究人员和代码审查工具的侵害。
红警安全提示
在撰写本文时,该假冒网站已离线。然而,在其行动曝光后,威胁行为者可能会转向新的领域。
区分真实版本和附加版本的一个简单方法是检查应用程序在安装时请求的权限或在它已安装在您的设备上时可以访问的权限。
要检查这一点,请长按应用程序的图标,选择“应用程序信息”,然后点击“权限”。
此外,据报道 真实的 RedAlert 应用程序遭到劫持 ,黑客活动分子利用 API 缺陷向用户推送虚假通知。
为了最大程度地减少发生此类事件的可能性,请确保您使用的是包含所有可用安全修复程序的最新应用程序版本。
转自安全客,原文链接:https://www.anquanke.com/post/id/290798
封面来源于网络,如有侵权请联系删除