外媒 2 月 12 日消息，来自 CSE CybSec ZLAB 实验室的研究人员分析了黎巴嫩 APT 间谍组织 Dark Caracal 在黑客行动中使用的 Pallas 恶意软件家族样本集。分析指出，该恶意软件能够收集目标应用程序的大量敏感数据，并通过在运行时解密的加密 URL 将其发送到 C＆C 服务器。 [出自:jiwo.org]

其实 Dark Caracal 自 2012 年就开始活跃，不过直到最近它才被认定在网络竞技场中具有强大的威胁性。

根据之前报道，电子前沿基金会 Frontier Foundation 和 安全公司 Lookout 联合调查发现与黎巴嫩总安全局有关的监控间谍组织 Dark Caracal APT 从世界各地的 Android 手机和 Windows PC 中窃取大量数据，并且最近有黑客组织将 Dark Caracal 间谍软件平台出售给某些国家用来监听。据研究人员介绍，该间谍活动通过制造大量虚假 Android 应用程序并利用社交工程（如钓鱼邮件或虚假的社交网络信息）来传播含有木马的恶意软件，过去的六年里已牵涉到来自 21 个国家的记者、军事人员、公司和其他目标的敏感信息（短信、通话记录、档案等）。

Dark Caracal 影响范围

研究人员称 Dark Caracal 最强大的广告活动之一是在去年头几个月开始的，该活动使用了一系列木马化的 Android 应用程序，旨在从受害者的移动设备中窃取敏感数据。 据悉，在这些应用程序中注入的木马是已被研究人员发现的 Pallas。

那么攻击者是如何一步步行动来感窃取数据的？

攻击者使用 “ 重新包装 ” 技术来生成其恶意软件样本，具体流程是：从合法的应用程序开始，在重新构建 apk 之前注入恶意代码。一般来说，目标应用程序属于特定类别，例如社交聊天应用程序（Whatsapp、Telegram、Primo）、安全聊天应用程序（Signal、Threema）或与安全导航相关的软件（Orbot，Psiphon）。

在恶意软件制作成功之后，攻击者利用社交工程技术欺骗受害者安装恶意软件，比如使用 SMS、Facebook 消息或 Facebook 帖子，诱骗受害用户通过特定网址下载新版流行的应用程序，目前这些木马化的应用程序都被托管在同一个 URL 上。

图为 – Dark Caracal Repository – 恶意站点

当用户设备受到感染后，攻击者利用恶意应用程序收集大量数据，并通过在运行时解密的加密 URL 将其发送到 C＆C 服务器。

以下为该木马的具体功能：

– 阅读短信

– 发简讯

– 记录通话

– 阅读通话记录

– 检索帐户和联系人信息

– 收集所有存储的媒体并将它们发送到C2C

– 下载并安装其他恶意软件

– 显示一个网络钓鱼窗口，以尝试窃取凭证

– 检索连接到同一网络的所有设备的列表

完整分析报告见：

< 20180212_CSE_DARK_CARACAL_Pallas_Report.pdf >