根据Recorded Future最近发布的一份报告,OilAlpha网络间谍组织主要针对在阿拉伯半岛运营的人道主义团体、媒体机构和非营利组织。该组织被认为与也门的胡塞运动有强烈的联系。
该运动的作战方式包括利用WhatsApp渗透和妨害这些组织,从而对其网络安全构成了重大威胁。
深入细节
OilAlpha主要侧重于利用该地区广泛使用的安卓手机中的漏洞。
2022年4月至5月期间,OilAlpha通过WhatsApp发送恶意安卓文件,针对参与也门内战谈判的政治代表和记者。
该组织使用远程访问工具,如SpyNote和SpyMax,来安装移动间谍软件。这些工具可擅自访问通话记录、短信数据、联系信息、网络详细信息、摄像头、音频功能,以及GPS定位数据。
该组织还进行了应用程序伪装,模仿著名的人道主义组织(如联合国儿童基金会)、挪威难民理事会和红新月会,这些组织在也门的灾害应对和人道主义工作中活跃。
对安卓的最新威胁
FluHorse是一种新型的安卓恶意软件,它伪装成真正的应用程序,已经被超过一百万用户下载。该恶意软件旨在通过网络钓鱼和绕过两步验证,窃取用户名、密码和2FA代码等个人信息。
四月份,有一次新的攻击活动发现,通过流行的消息应用如WhatsApp,向印度的安卓移动设备传播恶意软件。这款恶意软件被链接到DoNot APT,该组织以在南亚进行网络间谍攻击而闻名。
同月,安卓银行木马Chameleon被发现冒充流行的加密货币应用CoinSpot和其他知名应用,以窃取用户凭证。Chameleon仍处于早期开发阶段,功能有限,但它可以禁用Google Play Protect,并配备有一个锁捕获器来窃取设备密码。
总结
除非出现重要的新信息或重大的地缘战略转变,否则OilAlpha预计将继续利用恶意的基于安卓的应用程序,针对参与也门的政治和安全发展的组织,以及在人道主义和非政府组织行业内运营的组织
