泰国Android设备用户正受到“ WolfRAT”的DenDroid升级版的攻击,目前,它主要针对如WhatsApp,Facebook Messenger和Line等社交软件。该升级版主要由臭名昭著的Wolf Research进行操作。其操作水平相当业余,主要进行代码重叠,开源项目复制粘贴,类的实例化,不稳定的程序打包和不安全的面板操作。
相关背景
思科Talos根据DenDroid恶意软件系列的泄漏发现了一种新的Android恶意软件,由于该恶意软件(其命令和控制(C2)基础结构)与Wolf Research之间的结构重合以及字符串的引用,因此我们将其命名为“ WolfRAT”。目前该开发团队似乎已经关闭,但黑客们还是非常活跃。
我们发现了一些针对泰国用户及其设备的攻击活动,部分C2服务器就在泰国。它的面板中有着泰文的JavaScript注释、域名还有泰式食品的引用,通过这些策略,诱使用户对这些面板进行访问,其过程并不复杂。
运作过程
该恶意软件模仿一些合法服务进程,如Google服务,GooglePlay或Flash更新。其操作主要是对于网络上大量的公共资源进行复制粘贴。
造成的后果
在被丹麦的威胁情报公司CSIS Group公开谴责之后,Wolf Research被关闭但成立了一个名为LokD的新组织,该组织致力于Android设备的安全保护。但由于设备的共享以及面板名被遗忘,我们认为该组织的黑客依然活跃而且还在进行开恶意软件的深层开发。此外,在C2面板上我们还发现了Wolf Research与另一个名为Coralco Tech的塞浦路斯组织之间存在潜在联系,而这个组织还在进行技术拦截研究。
……
更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1216/
消息来源:talosintelligence, 译者:dengdeng。
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接
请登录后发表评论
注册