据称，来自巴基斯坦的黑客在为期六年针对印度政府、国防和技术部门相关公司的攻击活动中使用了基于 Android 的恶意软件。

据思科 Talos 研究人员称，该攻击活动仍在进行中，涉及使用名为 GravityRAT 的恶意软件，该恶意软件可让黑客窃取信息。在该研究机构周四发布的一份报告（https://blog.talosintelligence.com/cosmic-leopard/）中，研究人员将该活动称为“Operation Celestial Force（天体力量行动）”。

思科 Talos 表示，自 2019 年以来，它发现黑客不断为 GravityRAT 添加功能，使他们能够窃取设备数据，例如移动设备识别码、电话号码、网络操作、SIM 信息和设备位置。

“Operation Celestial Force（天体力量行动）”的感染链

思科此前曾曝光巴基斯坦攻击者在 2018 年使用 GravityRAT 攻击印度目标。

该恶意软件还允许黑客阅读短信、窃取设备上的文件、阅读通话记录并删除所有联系人。

黑客通过恶意网站传播 GravityRAT，其中一些网站的注册时间最晚为 2024 年 1 月。这些网站声称提供合法的 Android 应用程序。

此次攻击背后的黑客属于一个被研究人员称为“Cosmic Leopard（宇宙豹）”的组织，该组织主要专注于间谍和监视活动。

思科 Talos 的研究人员表示：“这项行动至少在过去六年中一直活跃，Talos 观察到近年来威胁形势总体呈上升趋势，尤其是利用移动恶意软件针对高价值目标进行间谍活动，包括使用商业间谍软件。”

扩展和重叠

除了 GravityRAT 恶意软件之外，“Operation Celestial Force（天体力量行动）”活动还使用了“不断扩展和演变的恶意软件套件”——思科 Talos 表示，这证明黑客“在针对印度目标方面取得了高度成功”。

此次扩展包括 HeavyLift 恶意软件家族——它允许黑客下载并安装其他恶意植入程序到受害者的设备上。

“此次活动主要利用两种感染媒介——鱼叉式网络钓鱼和社会工程。鱼叉式网络钓鱼包括向目标发送带有相关语言和包含 GravityRAT 等恶意软件的恶意文档的消息。”研究人员表示。

“另一种感染媒介在这次行动中越来越受欢迎，现在也是“Cosmic Leopard （宇宙豹）”行动的主要策略，即通过社交媒体渠道联系目标，与他们建立信任，最终向他们发送恶意链接，下载基于 Windows 或 Android 的 GravityRAT 或基于 Windows 的加载程序 HeavyLift。”

“Cosmic Leopard （宇宙豹）”的活动与透明部落（另一个巴基斯坦黑客组织）的活动重叠。透明部落涉嫌参与多起针对印度教育部门、政府和军队以及阿富汗各地组织的活动。

透明部落过去曾利用针对 Android 的恶意软件攻击印度和巴基斯坦公民，这些恶意软件旨在记录电话、窃取照片等。思科 Talos 表示，没有足够的技术证据将这场持续六年的攻击活动与透明部落联系起来，这就是为什么他们将其标记为 “Cosmic Leopard （宇宙豹）”的原因。

新闻链接：https://therecord.media/android-malware-alleged-pakistan-espionage-campaign-india