印度黑客濫用移動設備管理服務MDM監視iPhone用戶
兩周前首次亮相的印度高度針對性的移動惡意軟件廣告系列已被發現是針對多種平臺的廣泛廣告系列的一部分,包括Windows設備,也可能是Android。
在本月早些時候,Talos威脅情報部門的研究人員發現一群印度黑客濫用移動設備管理(MDM)服務劫持並監視印度一些有針對性的iPhone用戶。
自2015年8月開始運營以來,已發現攻擊者濫用MDM服務將惡意版本的合法應用程序(包括Telegram,WhatsApp和PrayTime)遠程安裝到目標iPhone上。
這些經過修改的應用程序旨在暗中監視iOS用戶,並從第三方聊天應用程序竊取他們的實時位置,短信,聯系人,照片和私人消息。
在他們正在進行的調查中,Talos研究人員發現了一個新的MDM基礎設施和幾個惡意二進制文件-旨在針對運行MicrosoftWindows操作系統的受害者-托管在之前廣告系列中使用的相同基礎架構上。
除此之外,研究人員還發現了一些潛在的相似之處,將此活動與一個名為“Bahamut”的老黑客組織聯系在一起,該組織是一名先前的威脅演員,之前使用與最新iOS惡意軟件活動中使用的類似MDM技術的Android設備。
新確定的MDM基礎設施於2018年1月創建,今年1月至3月使用,針對兩個印度設備和一個位於卡塔爾的英國電話號碼。
除了分發具有惡意功能的修改過的Telegram和WhatsApp應用程序外,新發現的服務器還分發修改後的Safari瀏覽器版本和IMO視頻聊天應用程序,以竊取受害者的更多個人信息。
攻擊者使用惡意Safari瀏覽器竊取登錄憑據
根據研究人員的說法,惡意Safari瀏覽器已預先配置為自動泄露用戶的用戶名和密碼,用於各種其他Web服務,Yahoo,Rediff,Amazon,Google,Reddit,Baidu,ProtonMail,Zoho,Tutanota和更多。
? 惡意瀏覽器包含三個惡意插件-添加書簽,添加到收藏夾和添加到閱讀列表-就像其他應用程序一樣,將被盜數據發送到遠程攻擊者控制的服務器。
目前還不清楚是誰支持該活動,誰是該活動的目標,以及攻擊背後的動機是什麽,但技術要素表明攻擊者是在印度運營,並且資金充足。
研究人員表示,那些感染此類惡意軟件的人需要註冊他們的設備,這意味著“他們應該隨時註意以避免意外登記”。(歡迎轉載分享)
印度黑客濫用移動設備管理服務MDM監視iPhone用戶