【IT168 资讯】Blue Coat 研究人员发现了全新安卓恶意软件，它专门攻击政府、军队以及金融、工程等行业的高层人士。证据表明该恶意软件的攻击对象分布在至少 37 个国家或地区。

　　该恶意软件的攻击活动复杂程度高，技术水平远在一般的安卓恶意软件之上。最值得关注的是攻击者留下的痕迹指向全球多个位置。大量关于攻击出处的假线索表明攻击者蓄意混淆视听，隐藏真实来源。

　　除了留下假线索隐蔽身份，攻击者还通过第三方基础设施安全网络路由通信。该基础设施基于多层命令和控制体系结构，同时利用知名公共博客网站和可能已遭入侵的私人网站。

　　从技术角度来说，此恶意软件与普通样本迥然不同，完全是精心设计的间谍工具。它的主要目的是录制通话音频并收集受害者的身份和位置信息。鉴于受害对象包括政界人士和使馆人员，这项攻击应该是以各个关键行业的高层人士为目标，有组织、有预谋的窃取机密或内部信息的间谍活动。

　　感染

　　攻击对象是精心选择的，并使用鱼叉式网络钓鱼 (spearphishing) 攻击进行定位。恶意软件为受害者分配单独的目标标识符，并向每个受害者单独发送 WhatsApp 或 Viber 更新通知电子邮件。如完整报告所述，研究人员发现了一封电子邮件以巴拉圭外交部工作人员为攻击目标，还有一封邮件的目标是巴拉圭联合国代表团成员。电子邮件如下所示：

▲

　　图 1 - 发送给巴拉圭政府官员的鱼叉式网络钓鱼 (spearphishing) 电子邮件

　　图片示意：

　　立即下载 WhatsApp，在 iPhone、安卓、黑莓或 Windows Phone 上使用：<链接>

　　在受害者使用安卓设备访问 URL 时，他们会下载一个名为“WhatsAppUpdate.apk”的文件。使用 Apple iOS 设备访问链接会下载一个基于 Cydia 的 iOS 应用。同样地，使用黑莓设备访问会下载一个黑莓应用。在大多数情况下，使用普通 PC 访问同样的链接会重定向到 BBC 新闻网站。

　　恶意软件伪装成 WhatsApp 更新工具，从下图中可以看出，它的界面很简单：

▲

　　图 2 - 假冒 WhatsApp 应用程序截图