本期导读:移动安全●伪装成Alpine Quest的恶意地图应用被曝监控俄军动向●新型恶意软件"超级卡X"通过NFC中继攻击瞄准安卓设备●新型 Android 恶意软件 Gorilla 拦截短信窃取一次性密码●手机非法植入“虚拟相机”,轻松骗过“人脸识别”●SpyNote、BadBazaar、MOONSHINE 恶意软件通过虚假应用程序攻击 Android 和 iOS 用户APT事件● APT29部署GRAPELOADER 恶意软件,以葡萄酒品尝为诱饵攻击欧洲外交官●朝鲜利用虚假 Python 编码挑战攻击加密货币开发者●Lazarus 黑客利用水坑攻击入侵六家公司●通过虚假求职活动,与Murkytour恶意软件的目标针对以色列漏洞新闻●苹果修复了两个被恶意利用的 iOS 漏洞,曾被用于复杂的定向攻击●Google4月安卓漏洞更新,修补已遭利用的0day漏洞
📱 恶意地图应用伪装成 Alpine Quest,用于监控俄军动向,窃取定位数据、通讯录及敏感文件,通过伪造 Telegram 频道传播。
🔴 新型恶意软件"超级卡X"通过 NFC 中继攻击针对安卓设备实施资金窃取,攻击者诱骗受害者在受感染手机上刷卡。
📲 新型 Android 恶意软件 Gorilla 拦截短信窃取一次性密码,主要针对银行客户和 Yandex 等热门服务的用户。
📸 手机非法植入“虚拟相机”,通过注入攻击方式,轻松突破平台“人脸识别”防线,用于规避网约车人脸识别等。
📱 SpyNote、BadBazaar、MOONSHINE 恶意软件通过虚假应用程序攻击 Android 和 iOS 用户,建立欺骗性网站,诱导用户下载恶意软件。
🍷 APT29 部署 GRAPELOADER 恶意软件,以葡萄酒品尝为诱饵攻击欧洲外交官,利用 WINELOADER 的新变种和 GRAPELOADER 进行攻击。
💻 朝鲜利用虚假 Python 编码挑战攻击加密货币开发者,要求开发者运行受感染的项目,传播新型数据窃取恶意软件。
🏢 Lazarus 黑客利用水坑攻击入侵六家公司,针对韩国软件、IT、金融和电信领域的多个组织。
👔 通过虚假求职活动,与 Murkytour 恶意软件的目标针对以色列,提供名为 MURKYTOUR 的后门,诱骗受害者下载恶意软件。
🍎 苹果修复了两个被恶意利用的 iOS 漏洞,曾被用于复杂的定向攻击,分别是 Core Audio 框架中的内存损坏漏洞和 RPAC 中的未指定漏洞。
📱 Google 4 月安卓漏洞更新,修补已遭利用的 0day 漏洞,其中两个高危漏洞可能导致信息泄露或远程权限提升。
AVL威胁情报团队 2025-04-28 10:44 四川
近期威胁情报速览!
移动安全
● 伪装成Alpine Quest的恶意地图应用被曝监控俄军动向
● 新型恶意软件"超级卡X"通过NFC中继攻击瞄准安卓设备
● 新型 Android 恶意软件 Gorilla 拦截短信窃取一次性密码● 手机非法植入“虚拟相机”,轻松骗过“人脸识别”● SpyNote、BadBazaar、MOONSHINE 恶意软件通过虚假应用程序攻击 Android 和 iOS 用户APT事件
● APT29部署GRAPELOADER 恶意软件,以葡萄酒品尝为诱饵攻击欧洲外交官
● 朝鲜利用虚假 Python 编码挑战攻击加密货币开发者
● Lazarus 黑客利用水坑攻击入侵六家公司
● 通过虚假求职活动,与Murkytour恶意软件的目标针对以色列
● 苹果修复了两个被恶意利用的 iOS 漏洞,曾被用于复杂的定向攻击● Google4月安卓漏洞更新,修补已遭利用的0day漏洞
01 伪装成Alpine Quest的恶意地图应用被曝监控俄军动向
一款植入间谍软件的伪造Alpine Quest应用被用于针对俄罗斯军方的Android设备,窃取定位数据、通讯录及敏感文件。Alpine Quest原本是户外运动爱好者常用工具,但由于其离线地图功能,也被俄军士兵广泛使用。攻击者将旧版应用重新打包后,通过伪造的Telegram频道以免费下载形式传播。每次应用启动时,都会将用户的手机号码、账户详情、通讯录、地理位置及设备文件列表发送至远程服务器。部分数据还会传送至攻击者控制的Telegram机器人,包括用户移动时的实时定位更新。
02新型恶意软件"超级卡X"通过NFC中继攻击瞄准安卓设备名为"超级卡X"(SuperCard X)的新型恶意软件即服务(MaaS),该恶意软件通过NFC(近场通信)中继攻击针对安卓设备实施资金窃取。攻击者通过Telegram频道推广该MaaS服务。分析显示,"超级卡X"的构建版本已移除Telegram链接,可能是为了隐藏关联关系并阻碍追踪,这表明攻击者正试图规避检测。恶意软件通过社会工程学手段传播,攻击者诱骗受害者在受感染手机上刷卡。
03 新型 Android 恶意软件 Gorilla 拦截短信窃取一次性密码一种名为“Gorilla”的复杂新型 Android 恶意软件,专门用于拦截包含一次性密码 (OTP) 的短信。该恶意软件在后台秘密运行,利用 Android 的权限系统获取受感染设备上的敏感信息。初步分析表明,Gorilla主要针对银行客户和 Yandex 等热门服务的用户,对窃取的短信进行分类,以便攻击者更容易利用。04手机非法植入“虚拟相机”,轻松骗过“人脸识别”在多个社交、短视频平台上,有着不少宣称可“规避网约车人脸识别”的账号。在淘宝、闲鱼等电商平台上,也发现了大量店铺提供“虚拟相机工具”“硬改摄像头”相关服务,用于社交中的“虚拟视频”、电商“无人直播”等需求。在手机上改装植入一款“虚拟相机”应用程序,轻松突破平台“人脸识别”防线。
这主要是采取了一种叫做“注入攻击”的方式,原理是对手机终端越狱并安装“注入程序”,当开启人脸验证后,程序识别到与相机数据采集相关的关键函数后,使用工具将自定义视频或图像注入目标进程,绕过物理相机的数据流,对真实环境进行“隔离”,从而“欺骗”平台程序。整个流程所需要当事人“配合”提供几张不同角度的人脸照片并深度伪造软件处理。
05 SpyNote、BadBazaar、MOONSHINE 恶意软件通过虚假应用程序攻击 Android 和 iOS 用户威胁行为者正在新注册的域名上建立欺骗性网站,伪装成 Google Play Store 中 Chrome 网络浏览器等应用程序的安装页面,使用了英语和中文混合的传播网站,并在传播网站代码和恶意软件本身中包含中文注释,试图欺骗毫无戒心的用户安装恶意软件。DTI 发现的克隆网站包含一个图片轮播页面,点击后会将恶意 APK 文件下载到用户设备上。安装后,它会积极请求大量侵入性权限,从而获得对受感染设备的广泛控制权。
01 APT29 部署 GRAPELOADER 恶意软件,以葡萄酒品尝为诱饵攻击欧洲外交官APT29使用 WINELOADER 的新变种和代号为 GRAPELOADER 的恶意软件加载程序,针对欧洲各地的外交实体。改进的 WINELOADER 变体仍然是后期使用的模块化后门,但 GRAPELOADER 是一种新观察到的初始阶段工具,用于指纹识别、持久性和有效载荷传递。两者在代码结构、混淆和字符串解密方面有相似之处。GRAPELOADER 改进了 WINELOADER 的反分析技术,同时引入了更先进的隐身方法。最新的一系列攻击包括向目标发送冒充欧洲外交部的电子邮件邀请,邀请他们参加葡萄酒品鉴活动,诱骗他们点击链接和带有恶意软件的ZIP压缩包。
02 朝鲜利用虚假 Python 编码挑战攻击加密货币开发者与朝鲜相关的威胁行为者 Slow Pisces(又名 Jade Sleet、PUKCHONG、TraderTraitor 和 UNC4899)正以开发者为目标,尤其是加密货币领域的开发者,以编码任务为幌子,传播新型数据窃取恶意软件。这些挑战要求开发者运行受感染的项目,并使用名为 RN Loader 和 RN Stealer 的恶意软件感染他们的系统。Jade Sleet 是朝鲜多个利用工作机会主题诱饵作为恶意软件传播媒介的威胁活动集群之一,其他几个分别是 Operation Dream Job、Contagious Interview、Alluring Pisces 和 Moonstone Sleet。03 Lazarus 黑客利用水坑攻击入侵六家公司Lazarus将水坑攻击策略与韩国完成某些财务和管理任务所需的文件传输客户端漏洞利用结合起来,针对了韩国软件、IT、金融和电信领域的多个组织。该活动在 2024 年 11 月至 2025 年 2 月期间至少危害了六个组织。
04 通过虚假求职活动,与Murkytour恶意软件的目标针对以色列与伊朗有关联的威胁行为者 UNC2428在 2024 年 10 月针对以色列开展了以工作为主题的社会工程活动,并提供了名为MURKYTOUR的后门。攻击者伪装成以色列国防承包商拉斐尔的招聘机会,有兴趣的个人被重定向到一个冒充拉斐尔的网站,在那里他们被要求下载一个工具来协助申请工作。该工具(“RafaelConnect.exe”)是一个名为 LONEFLEET 的安装程序,一旦启动,就会向受害者显示图形用户界面(GUI),以便受害者输入他们的个人信息并提交简历。值得一提的是,此次活动与以色列国家网络局归咎于伊朗威胁行为者黑影 (Black Shadow) 的活动有重叠。01 苹果修复了两个被恶意利用的 iOS 漏洞,曾被用于复杂的定向攻击苹果发布了修复程序,以修复两个据称已被广泛利用的安全漏洞。这两个漏洞分别是 Core Audio 框架中的内存损坏漏洞 (CVE-2025-31200) 和 RPAC 中的未指定漏洞 (CVE-2025-31201)。据称,这两个漏洞已被利用,用于“针对 iOS 上特定目标用户的极其复杂的攻击”。02 Google4月安卓漏洞更新,修补已遭利用的0day漏洞Google本月发布针对 62 个漏洞的补丁,其中两个漏洞据称已被广泛利用。
两个高危漏洞如下:
·CVE-2024-53150(CVSS 评分:7.8)- 内核 USB 子组件中存在越界缺陷,可能导致信息泄露
·CVE-2024-53197(CVSS 评分:7.8)- 内核 USB 子组件中的权限提升漏洞谷歌在其月度安全公告中表示:“这些问题中最严重的是系统组件中的一个严重安全漏洞,该漏洞可能导致远程权限提升,而无需额外的执行权限。利用该漏洞无需用户交互。”值得注意的是,CVE-2024-53197 根植于 Linux 内核,并于去年与 CVE-2024-53104 和 CVE-2024-50302 一起被修补。据国际特赦组织称,这三个漏洞被串联起来,于 2024 年 12 月侵入了一名塞尔维亚青年活动家的 Android 手机。
阅读原文
跳转微信打开
