标签: Dark Caracal

智能手机掌握用户更多秘密 比 PC 更受黑客青睐

据 CNET 网站报道,智能手机对用户的了解程度超过用户自己。智能手机随时知道用户的位置,知道用户与哪些人通了电话,甚至是通话内容。它存储有用户家人的照片、宠物的照片,甚至是用户使用的密码等等。对于黑客来说,智能手机就是一本数字通行证,能获得了解一个人所需要的所有信息。 安全研究人员称,这就是针对智能手机的攻击日益猖獗的原因。 在墨西哥举行的卡巴斯基安全分析师峰会上,来自移动安全公司 Lookout 的研究人员安德鲁·布莱希(Andrew Blaich)和电子前沿基金会的网络安全主管伊娃·戈尔佩林(Eva Galperin)发表了他们关于 Dark Caracal——针对移动设备的全球性恶意件,感染了逾 20 个国家的数以千计的用户——的调查结果。 通过追踪技术,他们发现 Dark Caracal “发源地”是贝鲁特一幢属于黎巴嫩安全总局的建筑物。Dark Caracal 利用了与真正应用几乎完全相同的虚假应用,诱骗数以千计的用户把它安装在手机上。一旦 Dark Caracal 安装到用户的手机上,黑客就能访问手机上的任何信息。 研究人员称,这次攻击非常严重,但它只是未来发生的攻击的预演。它颠覆了传统看法:即 PC 才是最受黑客青睐的攻击目标。对手机发动攻击变得越来越容易,攻击它们可以获得更大的回报,人们使用智能手机的时间远远超过电脑。对于黑客来说,攻击手机是一个显而易见的选择。 戈尔佩林表示,“入侵非常个人化的个人设备,就像了解了设备主人的想法一样。” 低门槛 高回报 Dark Caracal 专注于收集用户个人信息,不需要利用任何新的漏洞就能完成其任务。该恶意件使黑客能拍照、发现用户所处位置、录制音频,通过把自己伪装成 Signal 和 WhatsApp 等消息应用进行传播。 CNET 表示,允许 Dark Caracal 完成各种恶意任务的不是漏洞,而是用户自己。它会像其他应用那样要求获得一些权限,对于毫无戒心的用户来说,这些请求没有任何异常。 毕竟,Instagram 和 Facebook 等应用也会请求获得拍照、使用用户位置信息和录制音频的权限。如果用户下载了恶意件,但他或她却认为是一款真正的应用,这些权限不会引起用户警觉。 谷歌和苹果的安全补丁能堵上最新的漏洞,但它们挡不住用户受骗。恶意件安装到手机上,没有利用软件中的漏洞,利用的是人的弱点。 布莱希表示,“黑客没有在研究软件漏洞方面花费大量时间和精力,只是利用了一款获得过高权限的应用。如果不尝试利用软件漏洞,应用通过安全应用这一关并不难。” 虽然谷歌和苹果应用商店打击恶意应用的力度还是相当大的,但第三方应用商店就是另外一回事了。布莱希解释说,这是 Dark Caracal 能够传播的原因。 这款虚假应用在一个名为“ Secure Android ”的网站上“打广告”,称它自己的 WhatsApp 和 Signal 版本比原版应用更安全。黑客在激进分子和记者群中推广这一网页,因为恶意件的目标就是窃取这两类用户的信息。 虽然防止恶意件入侵的最好建议是,永远不要通过不正规方法安装应用,一些应用可能不能在美国之外的地区使用。例如,谷歌 Play 就不能在中国大陆地区使用。2014 年,中国大陆地区活跃 Android 用户数量为 3.86 亿。 补丁服务 为了提高移动操作系统的安全性,苹果和谷歌做了大量工作。苹果安全飞地(Secure Enclave)和加密技术能很好地保护用户数据,以至于美国联邦调查局愿意花 90 万美元解锁涉嫌制造圣贝纳迪诺枪击案的恐怖分子的 iPhone 手机。 谷歌通过 Project Treble 和 Play Protect 提高应用的安全性,封堵系统漏洞。 但是,鉴于部分补丁软件很少能被实际安装在手机上,这些措施还很不够。 2 月 28 日,美国联邦贸易委员会发表报告称,手机没有足够高效地获得安全更新包。美国联邦贸易委员会收集了苹果、谷歌、微软、三星、摩托罗拉、LG、HTC 和黑莓有关安全补丁安装过程的信息,结果并不令人乐观。 部分手机从未安装过任何更新包。美国联邦贸易委员会隐私和身份保护部门律师埃莉莎·吉尔森(Elisa Jillson)说,“支持期限从零到 3 或 4 年。” CNET 称,问题在于,安全更新通常与更广泛的软件更新捆绑在一起,这意味着某些型号手机从不会安装补丁,而其他型号手机可能需要等上几个月。美国联邦贸易委员会建议将这两种类型更新分开,提高为手机发布更新包的频次。谷歌 Project Treble 已经在这样做。 在 Project Treble 实施前,谷歌的安全更新包只面向运行最近版本 Android 的手机。高达 42% 的 Android 手机用户运行的不是最新版本操作系统,鉴于全球有 20 亿名 Android 用户,这意味着 8.46 亿部手机可能面临恶意件攻击。 戈尔佩林说,“绝大多数受害者都不是因零日漏洞受到攻击的。他们是因早已被发现的漏洞受到攻击的,他们只是没有安装补丁软件而已。” 布莱希表示,随着手机攻击越来越多,它将超过针对计算机的攻击。 在 Dark Carcal 兴风作浪期间,Lookout 和电子前沿基金会发现另外一个针对 Windows 计算机的攻击。与受到攻击的手机数量相比,Windows恶意件显得相形见绌。 吉尔森说,“这是一个已知的问题,设备没有安装更新包,因此,对于任何黑客来说,这都是一个敞开的窗口。” 稿源:腾讯数码,封面源自网络;

CSE ZLab 实验室发布关于 Dark Caracal 间谍组织及其恶意软件分析报告

外媒 2 月 12 日消息,来自 CSE CybSec ZLAB 实验室的研究人员分析了黎巴嫩 APT 间谍组织 Dark Caracal 在黑客行动中使用的 Pallas 恶意软件家族样本集。分析指出,该恶意软件能够收集目标应用程序的大量敏感数据,并通过在运行时解密的加密 URL 将其发送到 C&C 服务器。 其实 Dark Caracal 自 2012 年就开始活跃,不过直到最近它才被认定在网络竞技场中具有强大的威胁性。 根据之前报道,电子前沿基金会 Frontier Foundation 和 安全公司 Lookout 联合调查发现与黎巴嫩总安全局有关的监控间谍组织 Dark Caracal APT 从世界各地的 Android 手机和 Windows PC 中窃取大量数据,并且最近有黑客组织将 Dark Caracal 间谍软件平台出售给某些国家用来监听。据研究人员介绍,该间谍活动通过制造大量虚假 Android 应用程序并利用社交工程(如钓鱼邮件或虚假的社交网络信息)来传播含有木马的恶意软件,过去的六年里已牵涉到来自 21 个国家的记者、军事人员、公司和其他目标的敏感信息(短信、通话记录、档案等)。 Dark Caracal 影响范围 研究人员称 Dark Caracal 最强大的广告活动之一是在去年头几个月开始的,该活动使用了一系列木马化的 Android 应用程序,旨在从受害者的移动设备中窃取敏感数据。 据悉,在这些应用程序中注入的木马是已被研究人员发现的 Pallas。 那么攻击者是如何一步步行动来感窃取数据的? 攻击者使用 “ 重新包装 ” 技术来生成其恶意软件样本,具体流程是:从合法的应用程序开始,在重新构建 apk 之前注入恶意代码。一般来说,目标应用程序属于特定类别,例如社交聊天应用程序(Whatsapp、Telegram、Primo)、安全聊天应用程序(Signal、Threema)或与安全导航相关的软件(Orbot,Psiphon)。 在恶意软件制作成功之后,攻击者利用社交工程技术欺骗受害者安装恶意软件,比如使用 SMS、Facebook 消息或 Facebook 帖子,诱骗受害用户通过特定网址下载新版流行的应用程序,目前这些木马化的应用程序都被托管在同一个 URL 上。 图为 – Dark Caracal Repository – 恶意站点 当用户设备受到感染后,攻击者利用恶意应用程序收集大量数据,并通过在运行时解密的加密 URL 将其发送到 C&C 服务器。 以下为该木马的具体功能: – 阅读短信 – 发简讯 – 记录通话 – 阅读通话记录 – 检索帐户和联系人信息 – 收集所有存储的媒体并将它们发送到C2C – 下载并安装其他恶意软件 – 显示一个网络钓鱼窗口,以尝试窃取凭证 – 检索连接到同一网络的所有设备的列表 完整分析报告见: < 20180212_CSE_DARK_CARACAL_Pallas_Report.pdf > 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

专供政府情报收集:黑客出售黎巴嫩间谍软件平台 Dark Caracal

外媒 1 月 19 日消息,电子前沿基金会 Frontier Foundation 和 安全公司 Lookout 联合调查发现与黎巴嫩总安全局有关的监控间谍活动 Dark Caracal APT 从世界各地的 Android 手机和 Windows PC 中窃取大量数据,并且最近有黑客组织将 Dark Caracal 间谍软件平台出售给某些国家用来监听。据悉,该间谍活动通过制造大量虚假 Android 应用程序并利用社交工程(如钓鱼邮件或虚假的社交网络信息)来传播含有木马的恶意软件,过去的六年里已牵涉到来自 21 个国家的记者、军事人员、公司和其他目标的敏感信息(短信、通话记录、档案等)。 Lookout 发表的一份报告中详细分析了 Dark Caracal: Dark Caracal 实施的攻击链主要依靠社交工程,比如黑客在虚假应用程序(如 Signal 和 WhatsApp )中包含定制的 Android 恶意软件,从而达到向受害用户发送恶意信息的目的。 Dark Caracal 影响范围 Lookout 透露,其研究人员发现了一个名为 Pallas 的定制型恶意软件,可能是 Dark Caracal 间谍活动工具包中的一个重要组件。Pallas 被用来劫持目标智能手机,并通过出租给政府的 Dark Caracal 平台进行分发和控制。目前获取 Pallas 的主要方法是从非官方软件应用商店安装受感染的应用程序,比如 WhatsApp 和 Signal ripoffs 。不过 Pallas 并没有利用 ” 零日” 来接管设备,而是依靠欺骗用户安装恶意应用程序,授予恶意软件各种权限。一旦 Pallas 到位,就可以秘密地从手机的麦克风中录制音频、 揭露 gizmo 的位置给监视者、并将手机所包含的所有数据泄露给黑客。 此外,Dark Caracal 平台还提供了另一种监视工具 ——FinFisher 样本,它被出售给政府,用于监视公民。而在桌面端,Dark Caracal 提供了一个 delphil 编码的 Bandook 木马,该木马之前在 Manul 操作系统中已被识别,可以有效地征用  Windows 系统。 Lookout 表示目前正在试图寻找 Dark Caracal 背后的黑客组织,并预计今年夏天调查会有进展。 相关阅读: 关于 Dark Caracal 的相关报告 消息来源:TheRegister,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。