最近,一名高持续性威胁(APT) actor窃取了印度某个引人注目的目标的敏感信息,他使用Android和黑莓手机间谍软件发动了这次攻击。

上个月,趋势科技(Trend Micro)发布了一份与Operation C-Major有关的报告,在那次攻击活动中,攻击者成功地窃取到至少160名印度军官、专员、顾问的护照副本、财务信息、战略和战术文档,以及他们的个人照片。

证据表明,这个窃取了大量敏感信息的黑客组织位于巴基斯坦,他们通过并不复杂的恶意软件和社会工程发动了攻击。

对Operation C-Major进行进一步分析之后,我们发现这些攻击者至少自2013年初就开始活动了,他们还使用Android和黑莓手机应用程序来监视受害者。这些应用程序中的大多数都是由一家巴基斯坦公司制造的,它们通过Facebook进行宣传,其中有一些甚至存在于Google Play。

研究人员发现,攻击活动的成员正在积极推行一种名为StealthGenie的间谍应用程序,它能够远程监控iOS、Android和黑莓手机的电话、短信、视频和其他通信。StealthGenie的创造者是巴基斯坦的Hammad Akbar,他于2014年被美国当局逮捕,并被要求支付500000美元的罚款。

趋势科技表示,Operation C-Major的攻击者在2013年利用了一种类似于StealthGenie的应用程序,专门攻击黑莓手机。事实上,考虑到黑莓手机在政府机构内的受欢迎程度,它成为攻击者的目标并不奇怪。

利用黑莓手机恶意软件,攻击者可以访问设备的GPS定位、电子邮件、联系人、日历数据和照片,它还可以拦截电子邮件、电话和短信。研究人员还没有找到任何证据表明黑莓间谍软件存在于BlackBerry World,这意味着,攻击者是通过社会工程哄骗受害者在自己的手机上安装间谍软件的。

在该组织也使用了许多Android间谍软件,其中一个是Ringster。2015年上半年,这个应用程序就存在于Google Play中,它被用于对受感染的设备进行截图,并将图片发送回Operation C-Major使用的服务器。

2015年6月至2016年3月,一个更先进的间谍软件存在于Google Play,它叫做SmeshApp,可以窃取短信、视频和通话记录,并捕捉截图。攻击者还会使用像AndroRat这种现成的移动恶意软件。

该组织也会使用能够窃取短信和文件、制作视频和录音电话、捕捉截图的虚假新闻应用。这些应用程序名为印度Sena新闻、印度国防新闻,它们在Facebook页面有宣传广告,旁边还有上千个赞。比如说,印度国防新闻(IDN)页面就有1200个赞,在这些点赞的人中,有些就和印度军方有关系。