7月22日，在一項敘利亞電子政務門戶網(wǎng)站中發(fā)現(xiàn)安卓惡意軟件部署行為，安全研究人員發(fā)現(xiàn)該活動背后是一個名為StrongPity的APT（高級持續(xù)威脅）組織，這表明潛在受害者將受到升級武器庫的危害。

　　7月21日發(fā)布的一篇技術文章中表示：

　　“據(jù)我們所知，這是該組織首次被發(fā)現(xiàn)使用惡意安卓應用程序開展攻擊活動?！?/p>

　　這次的活動操作和該組織過往的操作沒有什么不同，攻擊者將正常的應用程序重新打包成木馬變體以推動進一步的攻擊。

　　敘利亞電子政務門戶被利用

　　該惡意軟件偽裝成敘利亞電子政務安卓應用程序，據(jù)說是在2021年5月創(chuàng)建的，該應用程序的清單文件（“AndroidManifest.xml ”）被修改為明確請求手機的額外權(quán)限，包括閱讀能力聯(lián)系人、寫入外部存儲、保持設備喚醒、訪問有關蜂窩和Wi-Fi網(wǎng)絡的信息、精確位置，甚至允許應用程序在系統(tǒng)啟動后立即啟動。

　　此外，惡意應用程序意圖長時間在后臺執(zhí)行運行任務，并觸發(fā)對遠程命令和控制 （C2） 服務器的請求，該服務器利用包含設置文件的加密負載進行響應，該文件允許“惡意軟件”根據(jù)配置更改其行為，并更新其C2服務器地址。

　　最后一點也是最重要的一點，“高度模塊化”的植入程序能夠清除存儲在受感染設備上的數(shù)據(jù)，例如聯(lián)系人、Word和Excel文檔、PDF、圖像、安全密鑰以及使用Dagesh Pro Word Processor （。DGS） 保存的文件） 等，所有這些都被傳輸回C2服務器。

　　盡管目前尚沒有關于StrongPity在攻擊中使用惡意安卓應用程序的公開報道，但趨勢科技認為攻擊者能成功開展行動的原因在于使用 C2 服務器，該服務器曾用于與黑客組織有關的入侵，臭名昭著的則是2019年7月AT&T的Alien實驗室記錄的一場惡意軟件活動，利用受感染版本的WinBox路由器管理軟件、WinRAR和其他受信任的實用程序來獲取目標數(shù)據(jù)。

　　研究人員說：

　　“我們認為，攻擊者正在探索多種向潛在受害者提供應用程序的方式，例如使用虛假應用程序和使用受感染的網(wǎng)站作為誘餌開展水坑攻擊，誘騙用戶安裝惡意應用程序?！?/p>

　　此外，他們還補充道：

　　“通常，這些網(wǎng)站會要求其用戶直接將應用程序下載到他們的設備上。為此，這些用戶需要同意設備安裝來自‘未知來源’的應用程序。這繞過了安卓生態(tài)系統(tǒng)的‘信任鏈’，這也使攻擊者更容易傳播其他的惡意組件。”

　　StrongPity組織

　　StrongPity，微軟將其命名為Promethium，自2012年以來一直活躍，主要攻擊目標為土耳其和敘利亞用戶。2020年6月，該組織黑客參與了一波利用水坑攻擊和篡改安裝程序的活動，這些活動濫用流行的合法應用程序，用惡意軟件感染目標設備。

　　思科Talos去年透露：“Promethium多年來活動不斷，且已經(jīng)多次曝光，但背后的攻擊者依然活躍。”