移动端主要恶意软件类型呈活跃下降趋势

阅读原文

跳转微信打开

安卓系统漏洞检测已正式上线试用！

随着移动智能终端广泛应用于政企办公、工业控制、车联网及金融服务等关键领域，系统漏洞已成为影响终端设备安全的核心隐患之一。

• 对国家合规的挑战：《网络安全法》、工信部手机“入网检测”安全标准等法规对系统安全提出了明确的漏洞扫描与修复要求，不合规即意味着巨大的法律与运营风险。

• 对产业安全的威胁： 生产厂商若无法在出厂前及时洞察并修复系统漏洞，无异于将风险随产品一同“交付”给用户，直接损害品牌信誉，危及产业链安全。

• 对重点单位资产的隐患： 政务、金融、能源等领域的移动设备使用单位，若无法清晰掌握自身资产的安全状况，则面临数据泄露与业务中断的双重危机。

在此背景下，建立一套权威、系统、可验证的漏洞检测机制，已成为移动终端安全防护体系中的必备环节。MVS移动智能终端系统漏洞检测系统（MVS系统）致力于提供权威、精准、高效的漏洞检测，助力各相关方筑牢移动安全防线。

安卓版APP已在产品官网正式上线，并面向所有企业用户开放下载试用！安卓版和开源鸿蒙版均已开放试用。

点击扫码访问官网

MVS系统是一款为重视智能终端安全状况的企业或相关机构提供的专业系统漏洞检测工具。MVS系统涵盖CVE、CNVD和CNNVD官方发布带有补丁的中危、高危以上漏洞，且漏洞发布时间范围为2016年1月至今（发布时间1月以上）。

Android系统 4.4 - 15

OpenHarmony系统 4.0+

HarmonyOS系统 5.0+

全面覆盖CVE、CNVD、CNNVD官方发布的带有补丁的中危、高危及以上漏洞，漏洞库每月更新，产品始终保持最新检测能力，让权威数据为您保驾护航。

采用先进的检测架构，支持并发检测，实现了99.9%漏洞的秒级检出。平均检测时长仅需10分钟，效率远超传统手段。

漏洞覆盖率 > 99%

检测准确率 > 99%

基于丰富的行业定制设备服务经验，MVS不仅能检测标准安卓设备，更能精准适配各类定制化剪裁移动终端，解决您的实际痛点。

安卓版 App即日起正式上线，并面向所有企业用户开放下载试用！ 让专业级的系统漏洞检测，变得像日常应用一样简单、高效。

获取方式：前往MVS系统官方网站，下载安卓版APP

试用说明：本次开放试用的为MVS系统安卓版App，支持离线检测或联网检测，离线检测仅支持检测少量漏洞，全功能体验请联网进行漏洞检测。

试用流程：

1.第一步：下载

访问我们的官方网站（mvs.avlsec.com），点击立即试用，下载MVS App安装包。

长按图片扫码访问⬆️

2.第二步：安装与运行

将App安装到您需要检测的安卓设备（或设备集群）上，打开APP即可一键启动扫描。

3.第三步：获取检测报告

等待约10分钟，检测完成后APP将会展示漏洞检出详情，包含内容如下：

• 各风险等级（超危、高危、中危、低危）漏洞检出数量。

• 检出漏洞对应CVE编号和发布时间（试用版仅展示部分检出漏洞）。

在万物互联的智能时代，移动终端的安全就是企业业务安全的前沿阵地。MVS系统致力于成为您最值得信赖的终端安全守护者。

阅读原文

跳转微信打开

八类恶意软件的整体呈现小幅波动态势，影响终端量较多的恶意类型本月呈现下降趋势

阅读原文

跳转微信打开

近期威胁情报速览！

01 Android恶意投放器转向传播短信窃取程序与间谍软件

Android恶意软件转向传播简易间谍软件，利用伪装应用规避谷歌防护。攻击者通过无害界面诱导用户下载恶意载荷，Play Protect难阻用户执意安装。恶意广告伪装金融应用，瞄准加密货币用户牟利，攻防博弈持续升级。当前活动通过伪装成印度和亚洲其他地区政府或银行应用程序的植入程序进行传播。

https://www.threatfabric.com/blogs/android-droppers-the-silent-gatekeepers-of-malware

02 黑客利用 macOS 内置防护功能部署恶意软件

攻击者滥用 macOS 工具（Keychain、SIP、文件隔离）进行凭证窃取和规避，通过禁用 Gatekeeper、点击劫持 TCC 和卸载 XProtect 来规避防御。企业需要实施基于 ESF 的详细日志记录、部署关键命令模式的 Sigma 规则以及使用第三方 EDR 解决方案增强本机防御，有效检测和阻止威胁。

https://cybersecuritynews.com/hackers-leverage-built-in-macos-protection/

03 虚假TradingView广告推送Brokewell安卓银行木马

网络犯罪分子正在滥用 Meta 的广告平台，以“免费获取 TradingView Premium 应用”为诱饵，向 Android 用户投放恶意广告，传播 Brokewell 恶意软件。安装后的恶意应用会立即索取辅助功能权限，并在获得权限后用一个假的“更新提示”遮盖屏幕，同时在后台悄悄授予自己所有所需权限，还会通过模拟 Android 系统更新请求，引诱受害者输入锁屏密码，以窃取设备 PIN 码。

自 2025年7 月 22 日起，涉及约 75 个本地化广告，主要瞄准加密货币资产用户。截至 8 月 22 日，仅在欧盟，这些广告就已经覆盖了数万名用户。

https://www.bitdefender.com/en-us/blog/labs/malvertising-campaign-on-meta-expands-to-android-pushing-advanced-crypto-stealing-malware-to-users-worldwide

04 奖学金申请欺诈：SikkahBot 恶意软件诱骗孟加拉国学生

名为“SikkahBot”的 Android 恶意软件追踪器 ，自 2024 年 7 月起活跃，并明确针对孟加拉国的学生。该恶意软件伪装成孟加拉国教育委员会的申请，以奖学金承诺引诱受害者，胁迫他们分享敏感信息，并授予高风险权限。安装后，SikkahBot 会收集个人和财务数据，拦截短信，滥用无障碍服务，并执行自动银行交易，包括基于 USSD 的操作。

https://cyble.com/blog/sikkahbot-malware-defrauds-students-in-bangladesh/

05 HOOK安卓木马重大升级，勒索功能扩展至107项

HOOK 被认为是ERMAC银行木马的一个分支，巧合的是，该木马的源代码已在互联网上一个可公开访问的目录中泄露。与其他针对 Android 的银行恶意软件一样，它能够在金融应用程序上显示虚假的覆盖屏幕，以窃取用户凭据并滥用 Android 辅助功能来自动进行欺诈并远程劫持设备。值得注意的恶意功能包含：向指定的电话号码发送短信、流式传输受害者的屏幕、使用前置摄像头拍摄照片以及窃取与加密货币钱包相关的 cookie 和恢复短语。

最新版本HOOK支持 107 个远程命令，新增 38 个。这些命令包括提供透明覆盖层以捕捉用户手势、提供伪造的 NFC 覆盖层以诱骗受害者共享敏感数据，以及提供欺骗性提示以收集锁屏 PIN 码或图案。

https://thehackernews.com/2025/08/hook-android-trojan-adds-ransomware.html

06 SpyNote新骗局：利用虚假应用商店展开隐秘攻击

威胁行为者使用具有欺骗性的 Google Play 商店克隆程序诱骗受害者下载恶意 APK。被仿冒的应用涵盖了社交/约会应用（CamSoda、Kismia、iHappy）、游戏（8 Ball Pool、Block Blast）以及实用程序（Chrome、Zoom、美妆、Compras Online）等热门类别。

交付 APK（例如 Chrome.apk）充当着植入器的角色。安装后，它会使用从应用清单中派生出的密钥解密其隐藏的有效载荷，并通过一种称为 DEX 元素注入的技术加载 SpyNote。该 C2 基础设施使用多个硬编码域名，但采用了混淆技术来阻止分析。底层基础设施仍然有限，仅与两个主要 IP 地址（154.90.58[.]26 和 199.247.6[.]61）绑定。

https://dti.domaintools.com/spynote-malware-part-2/

07 RatOn Android银行木马进行 NFC 中继和 ATS 银行欺诈

RatOn是一款新型功能齐全的银行木马，将传统的覆盖攻击与自动转账和 NFC 中继功能相结合，使其成为一种极具威力的威胁。RatOn 具有设备/账户接管功能，主要针对加密货币钱包应用程序，还可以利用特定银行应用程序进行自动转账，并使用自定义覆盖页面和设备锁定功能进行勒索。

相关样本组装时间为2025年7月-8月，一些相关样本在VirusTotal上仍有少量检测结果。研究人员分析认为该木马是从零开始编写的，与现有恶意软件暂无相似之处。攻击方式采用多阶段流程，通过使用植入器感染受害者进行传播。

https://www.threatfabric.com/blogs/the-rise-of-raton-from-nfc-heists-to-remote-control-and-ats

01 Lazarus 分支在有针对性的加密货币攻击中部署了三个自定义 RAT

Lazarus专门针对金融和加密货币领域的分支组织，使用远程访问木马 (RAT)——PondRAT、ThemeForestRAT 和 RemotePE，展示了一种分层的入侵、持久性和隐形方法，针对长期间谍活动和金融剥削进行了优化。

• PondRAT – 一款轻量级 RAT，充当加载器和初始立足点。它支持文件操作、进程执行和 Shell 命令

• ThemeForestRAT – 一种更隐蔽的第二阶段植入程序，仅驻留在内存中。它支持超过 20 个命令，包括文件操作、进程管理、Shellcode 注入和持久性操作。

• RemotePE – 最终的、更高级的有效载荷。与其他有效载荷不同，RemotePE 使用 Windows 的 DPAPI 进行加密，从而展现出更高的操作安全性。

https://blog.fox-it.com/2025/09/01/three-lazarus-rats-coming-for-your-cheese/

02 APT28新型Outlook后门GONEPOSTAL：利用电子邮件构建隐蔽C2通道

APT28（又称Fancy Bear）发起的新型间谍活动，使用名为GONEPOSTAL的定制Outlook宏后门程序。这款恶意软件通过DLL侧加载技术和Microsoft Outlook的VBA宏引擎，构建了基于电子邮件的隐蔽命令控制（C2）通道。将 Microsoft Outlook 本身改造成用于间谍活动的隐蔽后门。通过 GONEPOSTAL，该组织展示了一种罕见但强大的电子邮件平台滥用技术。

https://www.kroll.com/en/publications/cyber/fancy-bear-gonepostal-espionage-tool-backdoor-access-microsoft-outlook

03 APT37 利用 Rustonotto 后门、PowerShell Chinotto 和 FadeStealer 扩展武器库

APT37因其持续开发定制工具以及将社会工程学与技术创新相结合的能力而闻名。

• Rustonotto是一个用 Rust 编写的轻量级后门，于 2025 年 6 月首次被发现，可以执行 Windows 命令，通过 Base64 编码窃取结果，并与集中式命令与控制 (C2) 服务器保持通信。标志着 APT37 首次利用基于 Rust 的恶意软件攻击 Windows 系统。

• Chinotto是一款自 2019 年以来活跃的基于 PowerShell 的恶意软件。Chinotto 通过 Windows 快捷方式 (LNK) 或帮助 (CHM) 文件传递，使攻击者能够保持持久性并远程控制受感染的系统。

• FadeStealer 于 2023 年被发现，是一款监控工具，它会记录键盘输入、截取屏幕截图和音频、监控设备和可移动媒体，并通过受密码保护的 RAR 压缩包窃取数据。

https://www.zscaler.com/blogs/security-research/apt37-targets-windows-rust-backdoor-and-python-loader

04 Kimsuky利用社交工程与AppleSeed恶意软件对韩国实施间谍活动

在 2025 年 3 月至 4 月期间检测到了针对韩国 Facebook、电子邮件和 Telegram 用户的 APT 活动，行程了“协调多渠道攻击”，即利用个人关系和叛逃者主题叙述。

• Facebook：一些虚假账户被用来发送好友请求和消息。受害者收到的邮件主题包括志愿支持脱北者等。恶意文件被存储在受密码保护的 EGG 档案库中，以绕过移动平台并逃避检测。

• 电子邮件：建立良好关系后，攻击者会要求受害者提供个人电子邮件地址，以便发送后续有效载荷。

• Telegram：通过获取受害者的手机号码，攻击者将对话扩展到加密消息应用程序上，进一步使其渠道多样化。

https://www.genians.co.kr/en/blog/threat_intelligence/triple-combo-re

05 新型APT组织"嘈杂熊"针对哈萨克斯坦能源部门发起网络间谍

自2025年4月起活跃的新型威胁组织"嘈杂熊"(Noisy Bear)，主要针对哈萨克斯坦石油天然气行业，攻击手法结合了鱼叉式钓鱼、PowerShell加载器和DLL植入技术，并精心制作了伪装成哈萨克斯坦国家石油天然气公司(KazMunaiGas，简称KMG)内部通讯的诱饵文档。

https://www.seqrite.com/blog/operation-barrelfire-noisybear-kazakhstan-oil-gas-sector/

06 APT37 瞄准韩国学者，使用RokRAT 恶意软件

APT37发起一项新的网络钓鱼活动，针对与国家情报研究协会有关的个人，包括学术人士、前政府官员和研究人员，旨在传播一种名为 RokRAT 的恶意软件。攻击链的起点是一封鱼叉式网络钓鱼电子邮件，其中包含“国家情报研究协会通讯 - 第 52 期”的诱饵，该通讯由韩国一个专注于国家情报、劳资关系、安全和能源问题的研究小组发布，是一份定期通讯。

RokRAT是一款与 APT37 相关的已知恶意软件，该工具能够收集系统信息、执行任意命令、枚举文件系统、捕获屏幕截图以及下载其他有效载荷。收集的数据通过 Dropbox、Google Cloud、pCloud 和 Yandex Cloud 进行泄露。

https://www.seqrite.com/blog/operation-hankook-phantom-north-korean-apt37-targeting-south-korea/

07 Lazarus 利用 Git 符号链接漏洞发起隐秘网络钓鱼

本次攻击遵循了Lazarus的既定策略：虚假招聘信息、多阶段面试和恶意软件部署。攻击始于 LinkedIn、Telegram 或 Twitter 等平台，攻击者会假扮招聘人员，目标是诱骗目标用户参与虚假的面试流程，安装恶意软件，从受害者的设备和浏览器中窃取凭证/密码，然后盗取他们的加密钱包。

对于技术专业人员：

• 受害者被要求完成“编码测试”——其中包括提取和运行恶意代码。

• 最近的攻击甚至利用了 CVE-2025-48384（一个新披露的git符号链接漏洞）。

对于非技术目标：

• 攻击者伪造技术问题（例如“相机不工作”）来迫使受害者运行恶意脚本。

https://www.kucoin.com/blog/en-breaking-lazarus-group-apt38-targets-crypto-sector-with-sophisticated-phishing-campaign

01 谷歌9月更新111个安卓漏洞，包含两个零日

Android 安全更新涵盖了影响 Android 13 至 16 的漏洞，建议的操作是升级到安全补丁级别 2025-09-01 或 2025-09-05，方法是导航至“设置”>“系统”>“软件更新”>“系统更新”>并点击“检查更新”。两个零日漏洞详情如下：

• CVE-2025-38352漏洞 是一个 Linux 内核漏洞，于 2025 年 7 月 22 日首次披露，已在内核版本 6.12.35-1 及更高版本中修复。该漏洞此前未被标记为被主动利用。该缺陷是 POSIX CPU 计时器中的竞争条件，导致任务清理中断和内核不稳定，可能导致崩溃、拒绝服务和权限提升。

• CVE-2025-48543 会影响 Android 运行时，Java/Kotlin 应用和系统服务在此执行。它可能允许恶意应用绕过沙盒限制并访问更高级别的系统功能。

https://www.bleepingcomputer.com/news/security/google-fixes-actively-exploited-android-flaws-in-september-update/

02  WhatsApp漏洞与苹果零日漏洞遭组合利用，间谍软件攻击复杂度升级

WhatsApp 已修复一个关键的零点击漏洞，漏洞编号为 CVE-2025-55177，据称与苹果近期披露的零日漏洞（CVE-2025-43300）被联合使用，用于在完全无需用户交互的情况下投递间谍软件。受影响的版本包括：iOS 平台 2.25.21.73 之前的 WhatsApp、iOS 平台 2.25.21.78 之前的 WhatsApp Business，以及 Mac 平台 2.25.21.78 之前的 WhatsApp。

https://www.anquanke.com/post/id/311781

03 AI驱动漏洞挖掘！利用智能体发现57个安卓APP未知漏洞

研究人员开发出一个AI研究框架，用于在安卓应用中发现并验证漏洞。通过先对应用安全性进行推理，再尝试利用潜在缺陷进行验证，从而模拟人类专家的分析与验证过程。通过对160个APK的真实数据集上测试了该框架。在检测阶段报告的136个潜在漏洞，60个被验证为可利用的安全缺陷，29个被确认是误报，人工复核后最终确认60个漏洞中仅3个属于误报。其余57个问题涉及加密、访问控制及输入验证缺陷，并已被负责任地披露。

https://www.secrss.com/articles/82848

阅读原文

跳转微信打开

近期威胁情报速览！

01 Anatsa木马演变：Android 文档阅读器与欺骗

Anatsa（又名 TeaBot），2020 年首次出现，是一种 Android 银行木马，能够窃取凭证、记录键盘并进行欺诈交易。新的攻击活动将攻击范围显著扩大到全球 831 多家金融机构，其中包括 150 多个新的银行和加密货币应用程序。攻击者使用“文档阅读器 - 文件管理器”的应用程序作为诱饵，该应用程序仅在安装后下载恶意的 Anatsa 负载，以逃避谷歌的代码审查。

https://www.zscaler.com/blogs/security-research/android-document-readers-and-deception-tracking-latest-updates-anatsa

02 Android后门监视俄罗斯企业员工

俄罗斯联邦安全局 (FSB) 开发了一种伪装成防病毒工具软件的新型 Android 恶意软件：Android.Backdoor.916.origin，根据分发诱饵、感染方法以及其界面仅提供俄语选项的事实，研究人员认为它是针对俄罗斯企业的定向攻击而设计的。该软件功能包含监听对话、从手机摄像头中获取流媒体、使用键盘记录器记录用户输入或从通讯应用程序中窃取通信数据。应用程序的图标类似于俄罗斯联邦中央银行的徽章，背景为盾牌，文件名包括“SECURITY_FSB”、“FSB”等，试图误导潜在受害者。

https://news.drweb.ru/show/?i=15047&lng=ru

03 ERMAC 安卓恶意软件源代码泄露，银行木马基础设施被曝光

研究人员在扫描暴露资源时发现一个名为 Ermac 3.0.zip 的压缩包，其中包含该木马的完整代码，包括后端、前端（控制面板）、数据窃取服务器、部署配置，以及木马的生成器和混淆器。该木马的攻击目标范围显著扩大，能够针对 700 多款银行、购物和加密货币应用程序。除了恶意软件源代码被泄露之外，ERMAC 的操作者还存在多项严重的 运维安全（OpSec）失误，例如：硬编码的 JWT 令牌、默认的 root 凭证，以及管理面板缺乏注册保护机制，导致任何人都可以访问、操纵甚至破坏 ERMAC 的控制面板。

https://hunt.io/blog/ermac-v3-banking-trojan-source-code-leak

04 数百万用户使用的 Android VPN 应用存在隐蔽连接且不安全

研究人员发现，三种 Android VPN 应用之间存在秘密关联，Google Play 上的下载量总计超过 7 亿次，使用这些 VPN 应用的用户面临隐私泄露和安全漏洞的风险。

• 隐私侵犯：未公开的位置收集问题严重侵犯了用户的信任和隐私。

• 安全漏洞：客户端盲入/路径攻击允许攻击者推断 VPN 客户端正在与谁通信。VPN 客户端和 VPN 服务器之间的网络窃听者可以使用硬编码的 Shadowsocks 密码解密所有使用这些应用的客户端的所有信。

https://www.helpnetsecurity.com/2025/08/19/android-vpn-aps-used-by-millions-are-covertly-connected-and-insecure/

05 新型NFC驱动的安卓木马PhantomCard瞄准巴西银行客户

PhantomCard， 一种基于 Android NFC 的新型木马，主要针对巴西的银行客户，并可能在全球范围内扩张。PhantomCard 通过模仿“卡片保护”应用程序的虚假“Google Play”网页进行传播。PhantomCard 将受害者卡片上的 NFC 数据转发到犯罪分子的设备，用于支付或 ATM 取款。安装后，它会提示受害者刷卡，捕获 NFC 数据，并请求 PIN 码，通过犯罪分子控制的 NFC 中继服务器完成交易。该恶意软件的幕后黑手是活跃于巴西的Android 威胁“连环”经销商。

https://www.threatfabric.com/blogs/phantomcard-new-nfc-driven-android-malware-emerging-in-brazil

06 超过 300 个实体受到 Atomic macOS Stealer 变种的攻击

2025年6 月到 8 月，超过 300 个实体受到了Atomic macOS Stealer (AMOS) 变种 SHAMOS 的攻击。该恶意软件能够从多个浏览器窃取数据，包括自动填充、密码、Cookie、钱包和信用卡信息。AMOS 可以攻击多个加密钱包，例如 Electrum、Binance、Exodus、Atomic 和 Coinomi。受害者遍布加拿大、中国、哥伦比亚、意大利、日本、墨西哥、美国、英国等国家。

https://securityaffairs.com/181441/malware/over-300-entities-hit-by-a-variant-of-atomic-macos-stealer-in-recent-campaign.html

01 透明部落利用网络钓鱼工具将桌面快捷方式武器化，攻击印度政府

Transparent Tribe，也称为APT36，利用恶意桌面快捷方式文件针对 Windows 和 BOSS（Bharat 操作系统解决方案）Linux 系统发起攻击，攻击目标包括印度政府实体。攻击链始于一封伪装成会议通知的钓鱼邮件，实际上只是一些带有陷阱的Linux桌面快捷方式文件（“Meeting_Ltr_ID1543ops.pdf.desktop”）。这些文件伪装成PDF文档，诱骗收件人打开，从而执行Shell脚本。这些攻击旨在部署一个已知的透明部落后门，称为Poseidon，可以实现数据收集、长期访问、凭证收集以及潜在的横向移动。

https://www.cyfirma.com/research/apt36-targets-indian-boss-linux-systems-with-weaponized-autostart-files/

02 南亚APT组织利用新型工具入侵军事相关人员手机  

一个复杂的南亚高级持续性威胁 (APT) 组织一直在针对斯里兰卡、孟加拉国、巴基斯坦和土耳其的军事人员和国防组织开展大规模间谍活动。攻击者采用多阶段攻击框架，结合针对性网络钓鱼和新型Android恶意软件。该安卓木马基于开源 Rafel RAT 框架修改，通过 APK 文件（如 Love_Chat.apk）分发，伪装成合法的聊天应用程序，同时建立对受感染设备的持久后门访问。

威胁行为者已成功入侵多个国家的军事人员，窃取的数据包括短信、包含军衔和工作地点的联系人列表以及敏感的组织文件。

https://strikeready.com/blog/apt-android-phishing-microsoft/

03 APT MuddyWater 利用 OpenSSH、RDP 和计划任务攻击 CFO

APT MuddyWater 在部署项多阶段网络钓鱼行动，伪装成罗斯柴尔德公司 (Rothschild & Co) 的合法招聘通信，利用 Firebase 托管的网络钓鱼页面和自定义 CAPTCHA 挑战来欺骗高价值目标，瞄准欧洲、北美、南美、非洲和亚洲的首席财务官和财务主管。此次活动表明该组织的策略发生了重大变化，其利用包括 NetBird 和 OpenSSH 在内的合法远程访问工具在企业网络中建立持久后门。

https://cybersecuritynews.com/apt-muddywater-attacking-cfos/

04 UAC-0057利用武器化压缩包和进化型植入程序攻击乌克兰与波兰

被追踪为UAC-0057（亦称为UNC1151、FrostyNeighbor或Ghostwriter）的威胁组织自2025年4月起，通过恶意压缩包对乌克兰和波兰发起两起相互关联的网络间谍活动。这些压缩包内含多阶段植入程序，旨在收集情报并建立持久访问权限。针对波兰的变种实验性地采用Slack webhook进行C2通信，滥用免费版Slack工作区作为隐蔽数据外泄通道。更高级的变种还部署了Cobalt Strike Beacons，显示攻击者具备长期驻留和横向移动的能力。

https://harfanglab.io/insidethelab/uac-0057-pressure-ukraine-poland/

05 Kimsuky利用 XenoRAT 恶意软件攻击韩国多个大使馆

自2025年3月以来，Kimsuky主要针对驻首尔的欧洲大使馆，已发动至少19次鱼叉式网络钓鱼攻击。攻击主题包括虚假的会议邀请、官方信函和活动邀请，通常由冒充的外交官发出。

攻击者从 Dropbox、Google Drive 或 Daum 存储服务提供受密码保护的档案（.ZIP），这将降低电子邮件保护系统标记消息的风险。这些档案包含一个伪装成 PDF 的 .LNK 文件。启动后，它会触发经过混淆的 PowerShell 代码，从 GitHub 或 Dropbox 检索 XenoRAT 有效载荷，并通过计划任务确保其持久性。

https://www.trellix.com/blogs/research/dprk-linked-github-c2-espionage-campaign/

01 黑客可以通过利用一个漏洞完全控制你的root Android设备

流行的Android root框架中发现的一个严重安全漏洞，该漏洞允许恶意应用在用户不知情的情况下完全控制已root的设备，并获得完整的系统控制权。该漏洞利用了 KernelSU 对管理器应用程序进行身份验证的一个根本弱点。当应用程序使用魔法值 0xDEADBEEF 通过 prctl 系统调用请求管理器权限时，框架会执行三项验证检查：验证提供的数据目录路径、确认目录所有权以及验证 APK 的数字签名。虽然前两项检查很容易被任何恶意应用程序绕过，签名验证过程却包含一个可被利用的严重缺陷。

https://cybersecuritynews.com/hackers-could-gain-full-control-rooted-android-devices/

02 PolarEdge 僵尸网络疑似网络间谍活动

一个迅速扩张的僵尸网络，正在捕获全球的物联网设备，疑似作为外国网络间谍活动的幌子。该软件针对多种企业级边缘设备和消费级物联网设备。攻击者选择的设备通常是始终在线且稳定的，如IP摄像头、ASUS-RT系列路由器、思科APIC摄像头、网络附加存储和摄像头等，这些设备非常适合以合法用户的名义代理恶意流量。PolarEdge的目的可能是创建一个可操作的中继盒网络，以掩盖网络间谍活动。

https://www.govinfosecurity.com/ballooning-polaredge-botnet-suspected-cyberespionage-op-a-29246

03 特斯拉车主隐私 “裸奔”，GPS 坐标、驾驶习惯等随意获取

网络安全研究人员发现，数百个公开可访问的TeslaMate实例因配置错误，未经验证便暴露了特斯拉车辆的敏感数据，如GPS坐标、充电模式和个人驾驶习惯等隐私信息，这些信息可被互联网上任何人获取。研究人员使用masscan和httpx工具全网扫描4000端口（TeslaMate核心应用接口所在端口），识别出存在漏洞的TeslaMate实例，并在teslamap.io上绘制受影响车辆分布图，直观呈现隐私泄露的严重性。

https://cybersecuritynews.com/teslamate-leaks-vehicle-data/

阅读原文

跳转微信打开

八类恶意软件的整体占比态势与上月相比保持稳定，除“恶意扣费”类型出现显著下降

阅读原文

跳转微信打开

近期威胁情报速览！

01 PlayPraetor Android RAT 在西班牙语和法语地区迅速扩张

PlayPraetor新型 Android RAT已感染超过 11,000 台设备，主要分布在葡萄牙、西班牙、法国、摩洛哥、秘鲁和香港。每周新增感染超过 2,000 例，该 RAT 滥用 Android 辅助功能进行实时控制，并攻击了近 200 个银行应用程序和加密钱包。 PlayPraetor 使用弹性多协议 C2 设置：通过 HTTP/S 进行心跳检查、通过 WebSocket（端口 8282）进行实时命令以及通过 RTMP（端口 1935）进行屏幕流式传输。

https://www.cleafy.com/cleafy-labs/playpraetors-evolving-threat-how-chinese-speaking-actors-globally-scale-an-android-rat

02 谷歌Gemini AI遭利用窃取邮件并控制智能设备

研究人员发现一种通过看似无害的日历邀请和电子邮件实施的复杂攻击手段，能够利用谷歌Gemini AI助手实施入侵。该攻击技术通过在看似合法的谷歌日历邀请或Gmail邮件中嵌入恶意提示实现。当用户向Gemini驱动的助手查询邮件或日历事件时，隐藏的提示注入会触发上下文污染，从而破坏AI的正常行为。

研究数据显示，73%已识别的威胁具有高危或严重风险，攻击者可借此窃取邮件、追踪用户位置、未经同意录制视频通话，以及操控包括灯光、窗户和供暖系统在内的智能家居设备。

https://cybersecuritynews.com/gemini-exploited/

03 安卓平台活跃信息窃取木马家族及其攻击活动

Zimperium 检测引擎在野检测到的五个活跃的移动信息窃取程序家族：TriaStealer、TrickMo、AppLite、Triada 和 SMS Stealer。这些恶意软件针对金融服务、通信平台和身份验证机制，其攻击手段多种多样，从模仿用户屏幕的覆盖攻击到预装的固件后门。

主要发现包括：

• 已检测到超过 2,400 种变异，影响 69 个国家

• 在公开 IOC 发布之前，已对三个恶意软件家族进行了零日检测

• 东南亚被确定为主要感染热点地区

• 受影响最大的行业：金融、零售和软件

https://zimperium.com/blog/the-growing-threat-of-mobile-infostealers

04 虚假 TikTok Shop 域名通过 AI 驱动的诈骗活动传播恶意软件并窃取加密货币

威胁行为者正利用官方应用内电商平台，通过结合网络钓鱼和恶意软件的双重攻击策略来锁定用户。已发现超过15,000个此类冒充网站，这些域名绝大多数托管在顶级域名上，例如.top、.shop和.icu。这些域名旨在托管网络钓鱼登陆页面，这些页面要么窃取用户凭据，要么分发虚假应用程序SparkKitty（已知跨平台恶意软件的变体），该恶意软件能够从 Android 和 iOS 设备收集数据。

https://www.ctm360.com/reports/fraudontok-tiktok-shop-scam-report

05 Anubis 勒索软件同时攻击 Android 与 Windows 用户

Anubis 勒索软件首次被发现是在 2024 年 11 月，攻击者通过精心伪造的钓鱼邮件以及看似可信的邮件渠道向用户投递恶意载荷。在 Android 设备上，Anubis 主要作为银行木马运作，伪装成正规应用界面的浮层钓鱼页面来窃取用户登录凭据。同时，它还会在后台执行屏幕录制与按键记录（Keylogging）操作，以获取更多认证信息。更具传播性的特点在于：利用受害者的联系人列表批量发送短信，将自身扩散至更多设备，实现快速蔓延。

https://cybersecuritynews.com/anubis-ransomware-attacking-android-and-windows-users/

06 DoubleTrouble 手机银行木马病毒曝光

DoubleTrouble是通过冒充知名欧洲银行的钓鱼网站进行传播的。该木马的早期变种主要利用覆盖层窃取银行凭证、获取锁屏信息，并具有键盘记录功能。

最新变种直接在 Discord 频道内托管恶意软件样本的虚假网站，恶意软件功能包含屏幕截图等高级功能以及各种新命令，增强功能使其能够更有效地窃取数据、操控设备并规避攻击。

https://zimperium.com/blog/behind-random-words-doubletrouble-mobile-banking-trojan-revealed

07 VexTrio Viper 开发的虚假应用程序用于广告欺诈和订阅诈骗

名为VexTrio Viper 的恶意广告技术供应商开发了多款恶意应用程序，伪装成 VPN、设备“监控”应用程序、RAM 清理器、约会服务和垃圾邮件拦截器，发布在 Apple 和 Google 的官方应用程序商店中，累计下载量达数百万次。一旦安装，就会诱骗用户注册难以取消的订阅，向用户推送大量广告，并窃取电子邮件地址等个人信息。

新发现揭露了跨国犯罪集团 VexTrio Viper 的规模，该集团自 2015 年以来一直运营流量分发服务 (TDS)，通过其广告网络将大量互联网流量重定向到诈骗活动，以及管理 Pay Salsa 等支付处理器和 DataSnap 等电子邮件验证工具。

https://thehackernews.com/2025/08/fake-vpn-and-spam-blocker-apps-tied-to.html

01 Kimsuky利用 Nim 恶意软件攻击 Web3，并在 BabyShark 攻击活动中使用 ClickFix

与朝鲜有关联的Kimsuky黑客组织被指与一项针对韩国实体的鱼叉式网络钓鱼活动有关，该活动使用 Windows 快捷方式 (LNK) 文件作为初始访问媒介，触发多阶段感染链，部署键盘记录器和信息窃取程序，对受感染主机建立持久控制，并投放未知的下一阶段有效载荷。同时，恶意软件会向用户显示与税务通知单和政府警报相关的诱饵 PDF 文档，这些文档涉及该地区涉嫌性犯罪者的警报。

https://www.sentinelone.com/labs/macos-nimdoor-dprk-threat-actors-target-web3-and-crypto-platforms-with-nim-based-malware/

02 APT36 瞄准印度铁路、石油和天然气行业

APT36（又名“透明部落”）被指通过鱼叉式网络钓鱼攻击印度铁路系统、石油和天然气基础设施以及外交部，传播一种名为Poseidon的已知恶意软件。使用伪装成 PDF 文档的 .desktop 文件来执行脚本，下载恶意软件，并使用 cron 任务建立持久性。Poseidon 后门基于 Mythic 框架构建，用 Go 语言编写，用于维护访问权限并支持横向移动。

https://www.uptycs.com/blog/cyber_espionage_in_india_decoding_apt_36_new_linux_malware

03 Silver Fox APT 使用伪造的 Flash 插件传播恶意软件

被追踪为 Silver Fox 的威胁行为者会伪装成 Adobe Flash、Google Translate 和 WPS 等流行工具传播Winos木马。其典型的传播媒介包括电子邮件、钓鱼网站和即时通讯软件。随着网络犯罪圈核心远控木马源代码（例如 Winos 4.0）的泄露，Silver Fox 已逐渐从单一组织演变为一个被网络犯罪集团甚至 APT 组织广泛重新开发的恶意家族。

https://mp.weixin.qq.com/s/Qac0Xl_6lyJ8L0RkV3614A

04 朝鲜 Kimsuky 黑客涉嫌数据泄露

两名自称与 Kimsuky 价值观相反的黑客窃取了该组织的数据并将其公开泄露到网上。黑客泄露了 Kimsuky 的部分后端，暴露了他们的工具和一些被盗数据，这些数据可以让我们了解未知的活动和未记录的妥协。

目前托管在“分布式拒绝秘密”网站上的 8.9GB 转储文件包含多个 dcc.mil.kr（国防反情报司令部）电子邮件账户的网络钓鱼日志、其他目标域名、PHP“生成器”工具包、实时网络钓鱼工具包等。

https://www.bleepingcomputer.com/news/security/north-korean-kimsuky-hackers-exposed-in-alleged-data-breach/

05 Lazarus在新一轮间谍活动中瞄准开源存储库

2025年1月至7月期间，网络安全公司Sonatype阻止了234个恶意软件包，这些软件包上传到广泛使用的npm和PyPI代码库，冒充合法的开发者工具，旨在窃取凭证、分析受害者的设备并植入后门。该活动可能已影响超过36,000名开发者。安装后，攻击者会部署一系列间谍工具，包括剪贴板窃取程序、键盘记录器、屏幕截图实用程序和凭证收集器。已发现超过90个恶意软件包用于窃取机密和凭证，超过120个则充当植入程序以传播其他恶意软件。

https://www.sonatype.com/blog/sonatype-uncovers-global-espionage-campaign-in-open-source-ecosystems

01 联发科芯片组曝高危漏洞：越界写入缺陷危及智能手机与物联网设备安全

全球领先的芯片组制造商联发科（MediaTek）近日发布最新产品安全公告，披露了影响其智能手机、物联网设备及其他嵌入式系统芯片的多项安全漏洞。

• CVE-2025-20696：该高危缺陷源于下载代理中的越界写入问题。由于缺少边界检查，攻击者可通过物理接触设备实现本地权限提升。受影响芯片组MT6761、MT6877、MT6983和MT8196等主流型号，涉及Android 13.0/14.0/15.0系统版本。

• CVE-2025-20697：存在于电源硬件抽象层中。与前者不同，此漏洞无需用户交互，但要求攻击者已具备系统级权限，成功利用可导致进一步权限提升或任意代码执行。主要影响芯片组包括MT6765、MT6889、MT6989和MT8893芯片组家族，限于Android 14.0/15.0设备。

• CVE-2025-20697同源漏洞

• CVE-2025-20698：技术上与CVE-2025-20697同属Power HAL越界写入缺陷，但影响范围更广，涵盖从MT6739等传统型号到MT6895、MT6991等高性能SoC。同样无需用户交互，波及Android 13.0/14.0/15.0全系设备。

  
  

https://securityonline.info/mediatek-chipset-flaws-out-of-bounds-write-vulnerabilities-expose-smartphones-iot-devices/

02 Catwatchful 安卓间谍软件发现安全漏洞

Catwatchful Android 跟踪软件存在 SQL 注入漏洞，导致超过 62,000 名客户的信息泄露，其中包括其驻乌拉圭的管理员 Omar Soca Charcov。谷歌已增加保护措施以标记此类恶意应用，并暂停了该开发者的 Firebase 帐户，原因是该开发者滥用其基础设施来运行该监控软件。

https://ericdaigle.ca/posts/taking-over-60k-spyware-user-accounts/

03 基于 Linux 的联想网络摄像头漏洞可被远程利用，引发 BadUSB 攻击

该漏洞被命名为“BadCam”，攻击者可利用漏洞远程注入击键操作，独立于主机操作系统发起攻击，将摄像头转变为恶意HID设备或模拟额外的USB设备。联想510 FHD和Performance FHD摄像头存在相关漏洞，这些设备运行支持USB Gadget的Linux系统，容易受到BadUSB式攻击。联想已发布固件更新（版本4.8.0）以缓解漏洞，并与中国星宸科技合作发布了修复工具。

https://thehackernews.com/2025/08/linux-based-lenovo-webcams-flaw-can-be.html

04 苹果三星小米受影响！一个数据包让任意智能手机通信瘫痪

研究人员通过自主研发的测试框架LLFuzz（Low Layer Fuzzing，低层模糊测试框架），发现了智能手机通信调制解调器低层存在的安全漏洞，这些漏洞只需一个被篡改的无线数据包（即网络中的基本数据传输单元），就可能导致智能手机的通信功能瘫痪。更严重的是，这类漏洞还有可能被利用实现远程代码执行（RCE）。团队在包括苹果、三星、谷歌和小米在内的全球主要制造商推出的15款商用智能手机上进行了测试，共发现了11个漏洞。其中7个已获得官方分配的通用漏洞披露编号（CVE），相关制造商也已发布安全补丁。然而，尚有4个漏洞尚未对外公开。

https://techxplore.com/news/2025-07-vulnerability-packet-paralyze-smartphones.html

阅读原文

跳转微信打开

近期威胁情报速览！

01 Konfety回归，通过 ZIP 操作和动态加载不断演变

Konfety Android恶意软件的一种新变体采用复杂规避技术，利用双应用欺骗、ZIP 级别逃避、动态代码加载等手段隐藏关键功能，通过 CaramelAds SDK 实施广告欺诈。Konfety 模仿 Google Play 上提供的无害产品，伪装成一个合法的应用程序。该恶意软件的功能包括将用户重定向到恶意网站、推送不需要的应用程序安装以及虚假的浏览器通知。

https://zimperium.com/blog/konfety-returns-classic-mobile-threat-with-new-evasion-techniques

02 新型安卓恶意软件攻击：607 个域名被用于传播伪造 Telegram 应用

一场新型威胁攻击正通过数百个恶意域名诱骗安卓用户下载伪造的 Telegram 应用，这些域名均伪装成 Telegram 官方下载页面，其中多数通过 Gname 域名注册商注册，服务器位于国内。近几周，该攻击活动利用仿冒网站、二维码重定向以及植入危险权限和远程执行功能的篡改版 APK 文件实施攻击。

https://hackread.com/fake-telegram-apps-domains-android-malware-attack/

03 SarangTrap 勒索活动：仿冒约会应用针对安卓和ios用户

伪装成合法的约会和社交媒体应用程序针对 Android 和 iOS 平台上的移动用户。攻击活动规模庞大，涉及 250 多个恶意 Android 应用程序和 80 多个恶意域名，攻击者利用精心设计的钓鱼域名来模仿合法品牌和应用商店，从而诱骗用户下载恶意软件，旨在窃取敏感个人数据（例如联系人列表和私人图像），随后攻击者可能利用获取到的敏感数据进行钱财勒索，受害者主要集中在韩国。

https://zimperium.com/blog/the-dark-side-of-romance-sarangtrap-extortion-campaign

04 恶意 Android 应用模仿印度热门银行应用窃取登录凭证

攻击者通过传播假冒的 Android 应用程序，这些应用模仿公共部门和私人银行的界面和图标，利用印度用户对手机银行的需求，通过短信钓鱼、二维码和搜索引擎中毒等方式诱骗用户下载。APP安装后显示欺骗性的UI，收集电话号码、4位数MPIN和3位数CVV，并立即上传到私人Firebase实时数据库。同时具备支持语音验证呼叫转移和保活功能。

https://cybersecuritynews.com/malicious-android-apps-mimic-as-popular-indian-banking-apps/

05 移动威胁形势的重大演变：租赁具有2FA拦截和AV绕过功能的Android恶意软件变得便宜

PhantomOS和Nebula，两个著名的Android 设备恶意软件即服务 (MaaS) 平台，代表了移动威胁形势的重大演变，消除了传统的进入壁垒，以前将高级Android恶意软件活动限制于熟练的开发人员。

• PhantomOS 收费标准为每周 799 美元或每月 2,499 美元，另加利润分享协议，提供远程静默应用程序安装、短信和一次性密码拦截以绕过双因素身份验证，以及复杂的网络钓鱼覆盖，可在看似合法的界面中掩盖恶意 URL。

• Nebula 瞄准更广泛的犯罪市场，其价格更实惠，每月 300 美元起，提供自动数据提取功能，包括短信、通话记录、联系人和 GPS 位置数据。

  
  

两个平台都通过基于 Telegram 的命令和控制系统运行，即使是技术上缺乏经验的攻击者也可以通过简单的聊天命令来管理受感染的设备。

https://cybersecuritynews.com/renting-android-malware-with-2fa-interception/

01 伊朗 APT在以伊冲突期间利用 DCHSpy Android 监控软件

DCHSpy 是伊朗网络间谍组织 MuddyWater 利用的一款 Android 监控软件工具，收集 WhatsApp 数据、账户、联系人、短信、文件、位置和通话记录，还可以录制音频和拍照。鉴于近期伊朗冲突，新版 DCHSpy 似乎正在被部署用于攻击对手。它利用政治诱饵，伪装成 VPN 或银行应用程序等合法应用程序。 Lookout 获得了四个新的 DCHSpy 样本，新版本不仅能够识别并窃取设备上目标文件的数据，还能窃取 WhatsApp 数据。 

https://www.lookout.com/threat-intelligence/article/lookout-discovers-iranian-dchsy-surveillanceware

02 APT36 瞄准 BOSS Linux 窃取关键数据

APT36（也称透明部落）开始针对基于Linux的环境，特别是印度政府广泛采用的BOSS Linux，标志着APT36战术的重大转变。攻击利用网络钓鱼邮件传递恶意ZIP文件，通过社会工程学与技术隐身相结合的方式，绕过用户怀疑和传统安全措施，最终目的是窃取关键基础设施中的敏感数据。

https://www.cyfirma.com/research/phishing-attack-deploying-malware-on-indian-defense-boss-linux/

03 Elephant APT 组织攻击土耳其军工企业

Elephant APT 组织最新攻击活动针对的是土耳其国防承包商，一家精确制导导弹系统制造商。该攻击活动采用五阶段执行链，通过伪装成会议邀请的恶意 LNK 文件进行传播，发送给有意了解无人驾驶系统的目标用户。该组织利用合法二进制文件（VLC Media Player 和 Microsoft Task Scheduler）通过 DLL 侧载技术规避防御，表明威胁行为者的能力显著提升。

https://arcticwolf.com/resources/blog/dropping-elephant-apt-group-targets-turkish-defense-industry/

04 首款AI驱动的恶意软件LameHug问世，与俄罗斯APT28组织存在关联

CERT-UA 发现了一次针对行政当局的网络钓鱼活动。攻击者使用伪装成政府部门文件的 ZIP 文件，其中包含伪装成 .pif 文件的 LameHug 恶意软件，LameHug 通过 huggingface[.]co 服务 API 使用 LLM Qwen 2.5-Coder-32B-Instruct 生成命令。LameHug会收集系统信息，存储在本地，通过 SFTP 或 HTTP POST 请求将收集到的信息和文件泄露。乌克兰专家将该恶意软件归咎于与俄罗斯有关的组织 APT28。

https://cert.gov.ua/article/6284730

05 APT-C-06（DarkHotel）利用恶意软件为诱饵的攻击活动

2024年10月起出现了一款名为“hana9.30_x64_9.exe”的朝鲜输入法安装程序，今年6月份受影响用户数量明显增加，并且出现新的恶意软件“winrar-x64-540.exe”。恶意软件通过百度网盘，微信和U盘等方式接入用户机器，释放的载荷是APT-C-06在近些年来一直使用的第二阶段载荷DarkSeal。

https://mp.weixin.qq.com/s/Cx-v95Ua8U7I77-yQFckpA

01 大华IP摄像头缓冲区溢出漏洞导致设备遭受 RCE

大华科技发布安全公告，针对其IP摄像头产品线中两个高危漏洞进行修复。CVE-2025-31700和CVE-2025-31701（CVSS评分均为8.1），均由缓冲区溢出（buffer overflow）缺陷引发，远程攻击者可利用这些漏洞导致设备崩溃或执行任意代码。受影响设备包括多款主流摄像头系列：IPC-1XXX、IPC-2XXX、IPC-WX、IPC-ECXX系列，SD3A、SD2A、SD3D、SDT2A及SD2C系列。

https://securityonline.info/cve-2025-31700-cve-2025-31701-buffer-overflow-flaws-in-dahua-ip-cameras-expose-devices-to-rce/

02 LG Innotek 相机漏洞使攻击者获得管理员访问权限

LG Innotek 的 LNV5110R 相机型号被发现存在严重安全漏洞 CVE-2025-7742，属于身份验证绕过漏洞，攻击者通过上传特制的 HTTP POST 请求到设备的非易失性存储器可绕过正常安全控制，以管理员权限执行任意命令。该漏洞影响全球所有版本的 LNV5110R 相机型号，且由于该产品已停产，目前无安全补丁可用，仅能依靠网络隔离和防火墙等措施进行保护。

https://cybersecuritynews.com/lg-innotek-camera-vulnerabilities/

03 CVE-2025-7503：国产IP摄像头存在隐蔽后门，攻击者可获取Root权限

Shenzhen Liandian Communication Technology LTD生产的某款IP摄像头被曝存在高危漏洞（CVE-2025-7503），攻击者可通过未公开的Telnet服务获取设备root权限，对隐私安全构成严重威胁。漏洞存在于摄像头固件（AppFHE1_V1.0.6.0）及其配套内核（KerFHE1_PTZ_WIFI_V3.1.1）和硬件（HwFHE1_WF6_PTZ_WIFI_20201218）中。该漏洞不仅影响单一型号设备，更暴露出低成本OEM物联网设备的通病——未公开功能和不安全的默认配置。

https://securityonline.info/cve-2025-7503-cvss-10-hidden-backdoor-in-popular-ip-camera-grants-hackers-root-access/

04 专家发现 Kigen eSIM 技术存在严重缺陷，影响数十亿人

一种针对 Kigen eSIM 技术的新型黑客攻击方法，该技术影响数十亿台物联网设备。研究人员通过物理接触并掌握内部密钥，利用Kigen eUICC芯片中eSIM配置文件与Java Card应用隔离缺失的漏洞，提取私钥与GSMA证书。借助GSMA TS.48 v6.0测试配置，可远程安装恶意小程序，窃取并篡改任意运营商的eSIM配置文件。

https://securityaffairs.com/179894/security/experts-uncover-critical-flaws-in-kigen-esim-technology-affecting-billions.html

阅读原文

跳转微信打开

移动端恶意软件整体活跃度有所下降；仿冒色情类样本构成主要威胁

阅读原文

跳转微信打开

近期威胁情报速览！

01 朝鲜威胁者利用macOS NimDoor恶意软件攻击 Web3 和加密平台

与朝鲜有关的威胁行为者利用 NimDoor 瞄准了 Web3 和加密货币公司，NimDoor 是一种罕见的 macOS 后门，伪装成虚假的 Zoom 更新。受害者会通过 Calendly 或 Telegram 发送的钓鱼链接被诱骗安装该恶意软件。NimDoor 采用 Nim 语言编写，使用加密通信，并窃取浏览器历史记录和 Keychain 凭证等数据。该恶意软件可以持久驻留在系统中，一旦被杀死，就会重新感染自身，并模仿合法的 AppleScript 工具来逃避检测。

https://securityaffairs.com/179643/malware/north-korea-linked-threat-actors-spread-macos-nimdoor-malware-via-fake-zoom-updates.html

02 基于Telegram的安卓短信窃取程序已感染10万台设备

新型安卓恶意软件Qwizzserial通过Telegram机器人分发，伪装成合法的银行应用程序政府服务窃取乌兹别克用户财务数据，利用短信2FA漏洞，3个月获利6.2万美元，感染10万台设备，展示低成本高危害的金融欺诈模式。

https://securityonline.info/qwizzserial-telegram-driven-android-sms-stealer-infects-100000-devices/

03  Android 欺诈活动：IconAds、Kaleidoscope、短信恶意软件、NFC 诈骗

一项名为IconAds的移动广告欺诈行动涉及 352 个 Android 应用程序。这些被识别的应用程序会在用户屏幕上加载与上下文无关的广告，并在设备主屏幕启动器中隐藏其图标，使受害者更难将其移除。IconAds 是其他网络安全供应商以HiddenAds和Vapor为名追踪的威胁的一种变体，自 2019 年以来，这些恶意应用程序就多次从 Google Play 商店中逃脱。与IconAds相关的流量绝大多数来自巴西、墨西哥和美国。

https://thehackernews.com/2025/07/mobile-security-alert-352-iconads-fraud.html

04 Anatsa 移动恶意软件再次攻击北美银行客户

Android 银行木马病毒 Anatsa 最近将目标锁定在北美的金融机构和银行应用程序用户。Anatsa 能够窃取银行凭证、记录键盘输入，并使用远程访问工具直接从受感染的设备进行欺诈交易。Anatsa 攻击活动通常始于开发者将看似合法的 Android 应用程序（例如 PDF 阅读器或手机清理器）上传到应用商店，该应用程序会正常运行，直到下载量达到数千次。此时，更新会向设备注入恶意代码，将 Anatsa 作为单独的应用程序安装到设备上。

最近的攻击活动中，Anatsa被嵌入到一个看似无害的文件阅读器应用中。该应用曾位列美国版Play Store免费工具排行榜前列，累计下载量超过5万次。

https://therecord.media/anatsa-android-banking-malware-returns-north-america

05 新的 Android TapTrap 攻击利用隐形 UI 技巧欺骗用户

一种新颖的窃听技术可以利用用户界面动画绕过 Android 的权限系统并允许访问敏感数据或诱骗用户执行破坏性操作，例如擦除设备。与传统的基于覆盖的 tapjacking 不同，TapTrap 攻击甚至可以使用零权限应用程序在恶意活动之上启动无害的透明活动，这种行为在 Android 15 和 16 中仍然没有得到缓解。除非用户从开发人员选项或辅助功能设置中禁用动画，否则最新版 Android 系统都会启用动画，从而使设备暴露于 TapTrap 攻击。

https://www.bleepingcomputer.com/news/security/new-android-taptrap-attack-fools-users-with-invisible-ui-trick/

01 夜鹰APT组织利用微软Exchange漏洞攻击国内军工与科技领域

夜鹰（NightEagle，又称APT-Q-95）组织利用微软Exchange服务器漏洞实施攻击，其攻击链包含零日漏洞利用，主要针对国内的高科技、国防部门。

攻击链始于零日漏洞利用，通过.NET加载器投递木马，该木马修改开源工具Chisel源码，硬编码执行参数，实现内网穿透功能。攻击者获取machineKey后，对Exchange服务器进行反序列化操作，无需授权即可植入木马，远程读取任意人员邮箱数据，主要活动时段为北京时间晚9点至次日凌晨6点，该威胁组织很可能来自北美地区。

https://thehackernews.com/2025/07/nighteagle-apt-exploits-microsoft.html

02 TAG-140 部署 DRAT V2 RAT，针对印度政府、国防和铁路部门

TAG-140 的威胁行为者，与SideCopy存在重叠，被评估为 Transparent Tribe内的一个操作子集群。该组织被发现利用一种名为 DRAT 的远程访问木马 (RAT) 修改版攻击印度政府。此次最新的攻击活动通过克隆的新闻发布门户网站欺骗了印度国防部，标志着恶意软件架构和命令与控制 (C2) 功能发生了轻微但显著的变化。此次攻击活动展示了对手不断演变的策略，凸显了其改进和多样化 RAT 恶意软件“可互换套件”的能力，以收集敏感数据，从而使归因、检测和监控工作复杂化。

https://thehackernews.com/2025/07/tag-140-deploys-drat-v2-rat-targeting.html

03 BladedFeline 远程潜伏攻击 IIS 与 Exchange 服务器，渗透中东政府网络

BladedFeline自 2017 年以来长期开展间谍活动，目标是伊拉克和库尔德斯坦地区政府（KRG）的政府实体，被认为是著名伊朗 APT 组织 OilRig（APT34 / Hazel Sandstorm）的子组。研究人员发现名为 Whisper 的后门，它利用 Microsoft Exchange 网络邮件帐户接收命令并通过电子邮件附件窃取数据。除了 Whisper 之外， 还有一个名为PrimeCache 的恶意互联网信息服务 (IIS) 模块，基于服务器的后门以隐秘的方式运行，隐藏在合法的 Web 服务器进程中，允许攻击者持续访问被控服务器，而无需主动发送流量指令。

https://www.infosecurity-magazine.com/news/iran-hacking-group-targets-middle/

04 Blind Eagle 使用 Proton66 主机对哥伦比亚银行进行网络钓鱼和 RAT 部署

Blind Eagle（又名 AguilaCiega、APT-C-36 和 APT-Q-98）以针对南美洲（尤其是哥伦比亚和厄瓜多尔）的实体而闻名。该组织利用Proton66托管服务针对哥伦比亚银行发动网络钓鱼和远程访问木马（RAT）攻击。攻击者通过Visual Basic Script（VBS）文件作为初始攻击向量，部署现成的RATs。攻击目标包括Bancolombia、BBVA等银行，旨在窃取用户凭证和敏感信息。攻击者利用动态DNS服务如DuckDNS隐藏真实IP地址，增加检测难度。

https://thehackernews.com/2025/06/blind-eagle-uses-proton66-hosting-for.html

05 APT42 冒充网络专业人士对以色列学者和记者进行网络钓鱼

APT42（又名Educated Manticore）组织冒充网络安全专家对以色列学者和记者进行网络钓鱼攻击，目的是窃取电子邮件凭证和双因素认证（2FA）代码。攻击者通过电子邮件和WhatsApp发送伪造的Gmail登录页面或Google Meet邀请链接，诱使受害者泄露凭据。APT42使用定制的Google钓鱼工具包，模仿Google的2FA步骤，实时中继被盗信息。自2025年1月以来，该组织已使用超过130个钓鱼相关域名进行攻击。

https://securityaffairs.com/179372/apt/apt42-impersonates-cyber-professionals-to-phish-israeli-academics-and-journalists.html

01 Catwatchful 间谍软件漏洞，超过 62,000 名用户的登录信息泄露

Catwatchful 是一款伪装成儿童监控应用的Android 间谍软件，声称“隐形且无法被检测到”。Catwatchful 会秘密将受害者的数据上传到 Firebase 数据库，安全研究员发现了一个 SQL 注入漏洞，该漏洞暴露了整个 Firebase 数据库，泄露了 62050 个账户的明文登录信息、密码以及用户与设备之间的关联。

Catwatchful 间谍软件的大多数受害者来自墨西哥、哥伦比亚、印度和其他拉丁美洲国家。

https://securityaffairs.com/179620/malware/a-flaw-in-catwatchful-spyware-exposed-logins-of-62000-users.html

02 Airoha蓝牙芯片漏洞，可能被用于窃听或窃取敏感信息，知名耳机受影响

由十家厂商生产的超过20多款音频设备中存在一个蓝牙芯片集漏洞，可用于窃听或盗取敏感信息。来自拜亚动力、Bose、索尼、Marshall、捷波朗、JBL、Jlab、EarisMax、MoerLabs和Teufel 的29款设备受影响。受影响产品包括扬声器、入耳式耳机、头戴式耳机和无线麦克风。这些漏洞可用于接管易受攻击产品，而且在连接范围内的攻击者可在一些手机上提取通话历史和通讯录。

https://www.bleepingcomputer.com/news/security/bluetooth-flaws-could-let-hackers-spy-through-your-microphone/

03 印度YONO SBI 银行应用程序漏洞可导致攻击者执行中间人攻击

YONO SBI是印度国家银行（SBI）推出的一个综合性银行和生活方式应用程序，该应用存在安全漏洞（CVE-2025-45080），影响1.23.36版本，可能会使数百万用户面临网络安全威胁。 此漏洞源于不安全的网络配置，允许未加密HTTP流量，可能导致中间人攻击，用户银行凭证、交易和个人数据易被盗。漏洞违反了Android的安全指南，攻击者可拦截、篡改数据，执行MITM攻击。漏洞已在最新版本1.24.24中修复，用户应避免在不安全网络上使用旧版本。

https://cybersecuritynews.com/yono-sbi-banking-app-vulnerability/

阅读原文

跳转微信打开

5月移动恶意软件整体活跃度下降

阅读原文

跳转微信打开

近期威胁情报速览！

01 Android 恶意软件教父现利用虚拟化技术劫持银行应用程序

新升级的Godfather 恶意软件在 Android 设备上创建了并行的虚拟环境，通过虚拟环境远程控制真实的金融应用程序，攻击者可以实时窃取敏感信息，包括登录凭证、金融交易和锁屏凭证。升级版的“教父”攻击实现了完美的欺骗，几乎不可能通过目视检查发现，并消除了用户的警惕性。当前的攻击活动针对全球近 500 个应用程序，重点是 12 家土耳其银行，目标应用程序涵盖金融科技、社交媒体、电子商务和加密平台。

https://www.govinfosecurity.com/godfather-malware-turns-real-banking-apps-into-spy-tools-a-28740

02 新型恶意软件AntiDot通过覆盖、虚拟化欺诈和 NFC 盗窃攻击设备

AntiDot 由受经济利益驱动的威胁行为者 LARVA-398 运营，在地下论坛上以恶意软件即服务 (MaaS) 的形式积极出售。AntiDot 被宣传为“三合一”解决方案，具有利用 Android 辅助服务记录设备屏幕、拦截短信以及从第三方应用程序中提取敏感数据的功能。

AntiDot 于 2024 年 5 月首次公开记录，当时人们发现它以 Google Play 更新的形式分发，以实现其信息盗窃目的。2024 年 12 月，Zimperium披露了移动网络钓鱼活动的细节，该活动使用以工作机会为主题的诱饵分发了 AntiDot 的更新版本（称为 AppLite Banker）。PRODAFT 表示：“AntiDot 是一个可扩展且具有规避性的移动即服务 (MaaS) 平台，旨在通过持续控制移动设备（尤其是在本地化和特定语言区域）来获取经济利益。” 

https://thehackernews.com/2025/06/new-android-malware-surge-hits-devices.html

03 俄罗斯首次发现 SuperCard 恶意软件攻击，通过 NFC 窃取银行数据

研究人员发现了俄罗斯国内数据窃取攻击，该攻击涉及合法近场通信 (NFC) 软件的修改版本，这似乎是一场更广泛攻击活动的试运行。攻击者使用社会工程学技术诱骗受害者下载 SuperCard，并将其伪装成合法应用程序。安装后，该恶意软件会识别受害者使用的支付系统，利用这些数据进行欺诈交易。

据总部位于莫斯科的网络安全公司 F6 统计，2025 年第一季度，俄罗斯 NFCGate 变种造成的损失总计达 4.32 亿卢布（约合 550 万美元），超过 17.5 万台 Android 设备受到感染。

https://therecord.media/supercard-nfc-banking-malware-russia

04 欧洲记者手机中发现 Paragon 间谍软件

漏洞 (CVE-2025-43200) 的零点击攻击已使多名欧洲记者的 iPhone 感染了 Paragon 的 Graphite 雇佣间谍软件。其中两人均在意大利调查机构Fanpage工作，另一名未透露姓名的欧洲记者的手机中也存在间谍软件。Paragon与领先的间谍软件制造商NSO集团一样，是一家以色列公司。此外，公民实验室3 月份在多个国家/地区广泛检测到了 Paragon 的 Graphite 间谍软件。

CVE-2025-43200 是一个逻辑漏洞，当 Apple 智能手机处理通过 iCloud Link 共享的恶意制作的照片或视频时触发。显然，目标用户无需打开或查看通过 iMessage发送的恶意媒体文件，漏洞利用即可生效。

https://www.helpnetsecurity.com/2025/06/13/ios-zero-click-attacks-used-to-deliver-graphite-spyware-cve-2025-43200/

05 SparkKitty 的新型移动加密窃取恶意软件

一种名为 SparkKitty 的新型移动加密窃取恶意软件，该恶意软件针对的是 Android和 iOS 设备。安装过程会告诉用户记下钱包的恢复短语并将其存储在安全的离线位置。访问此种子短语可用于在另一台设备上恢复加密钱包及其存储的资产，使其成为威胁行为者的宝贵目标。

SparkKitty 可能是卡巴斯基在今年一月份发现的SparkCat的演变版本。SparkCat 使用光学字符识别 (OCR) 技术从受感染设备上保存的图像中窃取加密货币钱包的恢复短语。

https://www.bleepingcomputer.com/news/security/malware-on-google-play-app-store-stole-your-photos-and-crypto/

01 Kimsuky (APT-Q-2) 组织近期Endoor恶意软件分析

近期研究人员发现一批 Kimsuky 组织使用的 Endoor 样本，该后门软件使用 Go 语言编写，曾在于 2024 年初发布的报告《软件安装包伪装下的 Kimsuky（APT-Q-2）窃密行动》中提及。

本次发现的 Endoor 后门在功能上变化不大，但攻击者掩盖攻击的方式别出心裁，一方面是恶意函数的文件路径以 local.github.com 开头，试图伪装为来自 github 的开源代码，避开代码审查，另一方面后门连接 C&C 服务器的 53 端口，而不是常规的 80 或者 443 端口，一定程度上可以绕过对恶意流量的检测，体现了 Kimsuky 组织在实施攻击时不断调整手法的灵活性。

https://mp.weixin.qq.com/s/ZtG9OZCTAimlMjP2E3k3bA

02 BitoPro 交易所将 Lazarus 黑客与价值 1100 万美元的加密货币盗窃案联系起来

台湾加密货币交易所 BitoPro 声称朝鲜黑客组织 Lazarus 是 2025 年 5 月 8 日网络攻击的幕后黑手，该攻击导致价值 1100 万美元的加密货币被盗。攻击者劫持了 AWS 会话令牌以绕过多因素身份验证 (MFA) 并控制 BitPro 的云基础设施。接下来，命令和控制 (C2) 服务器向植入物发送命令，在准备攻击时将脚本注入热钱包主机。当钱包升级并转移资产时，攻击者会模拟正常操作行为来窃取加密货币，以逃避立即检测。

https://www.bleepingcomputer.com/news/security/bitopro-exchange-links-lazarus-hackers-to-11-million-crypto-heist/

03 俄罗斯黑客利用窃取的应用程序密码绕过 Gmail MFA

俄罗斯黑客通过冒充美国国务院官员的高级社会工程攻击，利用应用程序专用密码绕过多因素身份验证并访问 Gmail 账户。今年 4 月至 6 月初期间，黑客发送了精心设计的网络钓鱼邮件，旨在诱使收件人创建和分享应用程序专用密码，以便访问他们的 Gmail 账户。研究人员追踪到该网络攻击者的编号为 UNC6293，他们认为该攻击者受国家支持，可能与俄罗斯对外情报局 (SVR) 旗下的威胁组织 APT29 有关。

https://www.bleepingcomputer.com/news/security/russian-hackers-bypass-gmail-mfa-using-stolen-app-passwords/

04 BlueNoroff 的 Deepfake Zoom 诈骗利用 macOS 后门恶意软件攻击加密货币员工

与朝鲜结盟的威胁行为者BlueNoroff瞄准了 Web3 领域的一名员工，通过欺骗性的 Zoom 通话，以深度伪造的公司高管为特色，诱骗他们在 Apple macOS 设备上安装恶意软件。Huntress 披露了此次网络入侵的细节，称此次攻击的目标是一名未透露姓名的加密货币基金会员工，该员工收到了来自 Telegram 上外部联系人的消息。BlueNoroff 也被称为 Alluring Pisces、APT38等，是 Lazarus Group 的一个子集群。

https://thehackernews.com/2025/06/bluenoroff-deepfake-zoom-scam-hits.htmlepingcomputer.com/news/security/russian-hackers-bypass-gmail-mfa-using-stolen-app-passwords/

05 台海热点诱饵！旺刺组织结合 0day 和 ClickOnce 技术开展间谍活动

旺刺组织（APT-Q-14）具有东北亚背景，与 APT-Q-12 (伪猎者)、APT-Q-15等组织存在重叠，均属于 DarkHotel 组织的子集，长期以来使用 CilckOnce 技术针对国内进行钓鱼活动。

由于 CilckOnce 技术需要与受害者交互的次数较多，所以钓鱼成功率并不太高，为了解决“用户交互”问题，旺刺组织挖掘了某邮件平台网页版的 XSS 0day 漏洞（目前 XSS 已经被修复），通过 XSS 漏洞触发 CilckOnce 的 js，当受害者打开钓鱼邮件的瞬间，浏览器进程会自动弹出 CilckOnce 钓鱼框，模仿邮件更新行为。

https://mp.weixin.qq.com/s/oioNitPXVxCUD8eXByfDIw

06 APT28 黑客利用 Signal 聊天对乌克兰发起新的恶意软件攻击

俄罗斯政府支持的威胁组织 APT28 正在使用 Signal 聊天攻击乌克兰的政府目标，其使用了两个之前未记录的恶意软件家族，分别为 BeardShell 和 SlimAgent。乌克兰计算机和应急响应部门 ( CERT-UA )发现通过加密通讯应用程序 Signal 发送的消息被用于向目标 (Акт.doc) 传递恶意文档，该文档使用宏来加载名为 Covenant 的内存驻留后门。

https://www.bleepingcomputer.com/news/security/apt28-hackers-use-signal-chats-to-launch-new-malware-attacks-on-ukraine/

01 伊朗黑客通过劫持以色列联网摄像头开展间谍情报活动

伊朗黑客劫持以色列联网摄像头收集情报，对以国家安全构成威胁。以色列国家网络局证实，联网摄像头成伊朗战争策划攻击目标。私人摄像头因价格低、易入侵，常被黑客利用。2022年，以色列6.6万台个人摄像头因使用默认密码易被攻破。以色列政府曾敦促公民加强摄像头信息安全，还获法律批准可远程关闭相关设备。全球私人监控市场快速增长，但其安全漏洞问题亟待解决。

https://mp.weixin.qq.com/s/fPmXm1XHLbWAzi__Rg0Iog

02 神秘厂商可以获得谷歌、脸书、币安等知名服务的短信验证码

瑞士公司Fink Telecom被指能获取谷歌、Meta、币安等知名服务的短信验证码。该公司曾与政府情报机构合作，参与监控和追踪用户位置。一位业内举报者向《彭博商业周刊》提供了约100万条含双因素验证码的短信数据，这些短信经过Fink Telecom处理，涉及全球100多个国家的用户。隐私专家指出，短信传输机制存在安全漏洞，企业不应通过短信发送账号认证或登录验证码。Fink Telecom的首席执行官Andreas Fink否认公司查看短信内容，称其提供的是基础设施和技术服务。然而，由于电信行业普遍存在业务分包，信息传输路径不透明，使得客户难以溯源所有供应商，难以真正禁止恶意方。

https://www.bloomberg.com/news/articles/2025-06-16/two-factor-authentication-codes-take-insecure-path-to-users

03 起亚厄瓜多尔无钥匙进入系统漏洞导致数千辆车辆被盗

研究人员发现，厄瓜多尔使用的 KIA 品牌售后市场无钥匙进入系统采用了过时的技术，使车辆容易受到重放攻击和信号克隆。该漏洞被指定为 CVE-2025-6029，从 2022 年到 2025 年影响厄瓜多尔的起亚汽车，包括 Soluto、Río 和 Picanto 等流行车型。

核心问题源于 KIA Ecuador 使用学习代码技术，而不是自 1990 年代中期以来广泛采用的行业标准滚动代码系统。2022 年和 2023 年初的起亚厄瓜多尔车辆使用 HS2240 芯片，而 2024 年和 2025 年车型采用 EV1527 芯片，两者都实现学习代码而不是安全滚动代码。这种技术选择会产生多个攻击媒介，犯罪分子可以利用这些媒介来未经授权访问车辆。

https://cybersecuritynews.com/kia-ecuador-keyless-entry-systems/

阅读原文

跳转微信打开

移动端恶意软件感染呈现加速蔓延趋势

阅读原文

跳转微信打开

近期威胁情报速览！

01 新型"选择劫持"攻击：恶意充电器可入侵安卓与iOS设备

一种名为"选择劫持（ChoiceJacking）"的新型复杂攻击手段，恶意充电站可通过该技术窃取智能手机和平板电脑中的敏感数据，成功绕过保护移动设备长达十余年的安全措施。研究人员表示："尽管各厂商对USB协议栈进行了定制化修改，但选择劫持攻击仍能获取所有受测设备中的敏感用户文件（包括图片、文档和应用程序数据）。"测试涵盖市场份额前六名在内的8家厂商设备，涉及三星、苹果、谷歌、小米、OPPO、vivo、华为和荣耀等主流品牌。

详细信息：https://cybersecuritynews.com/choicejacking-attack/

02 Android 银行木马 Crocodilus 迅速演变并走向全球

名为 Crocodilus 的新型 Android 银行木马正在越来越多地被用于针对欧洲和南美用户的攻击活动。它通过社交媒体上的恶意广告进行传播，并具备多种危险功能，例如窃取种子短语和创建虚假联系人进行诈骗。由于其改进的隐藏策略，它也更难被发现。

最近的样本采用了增强的混淆技术，例如代码打包和异或加密，以规避检测。一种新的变种现在可以向受害者的手机添加虚假联系人，例如“银行支持”，使欺诈电话看起来合法，并可能绕过欺诈检测系统，从而进行社会工程攻击。

详细信息：https://securityaffairs.com/178578/malware/android-banking-trojan-crocodilus-evolves-fast-and-goes-global.html

03 Android 恶意软件 BADBOX 2.0 感染数百万台消费设备

BADBOX 2.0 恶意软件活动已经感染了超过 100 万台家庭互联网连接设备，将消费电子产品转变为用于恶意活动的住宅代理，连接到 BADBOX 2.0 操作的设备包括低价位、非品牌、未经认证的平板电脑、联网电视 (CTV) 盒、数字投影仪等。这些设备预装了 BADBOX 2.0 恶意软件僵尸网络，或者在安装固件更新后以及通过潜入 Google Play 和第三方应用商店的恶意 Android 应用程序受到感染。

详细信息：https://www.bleepingcomputer.com/news/security/fbi-badbox-20-android-malware-infects-millions-of-consumer-devices/

04 Meta 通过 Facebook 和 Instagram 秘密追踪 Android 用户

Meta（Facebook）和 Yandex 采用的一种复杂的跟踪方法，可能通过本地主机套接字进行的隐蔽的 Web 到应用程序通信影响数十亿 Android 用户。 

该技术允许包括 Facebook 和 Instagram 在内的原生 Android 应用程序悄悄接收嵌入在数千个网站上的 Meta Pixel 脚本的浏览器元数据、cookie 和命令，从而有效地将移动浏览会话与用户身份联系起来并绕过标准的隐私保护。

详细信息：https://cybersecuritynews.com/track-aroid-users-covertly/

05 黑客利用iMessage零点击漏洞攻击iPhone用户

苹果iMessage中存在一个此前未知的零点击漏洞，已被复杂威胁行为者用于攻击美国和欧盟地区的知名人士。该漏洞代号"NICKNAME"，影响iOS 18.1.1及更早版本，苹果已在iOS 18.3中静默修复。

2024年4月至2025年1月期间，iVerify分析近5万台设备的崩溃数据，发现与昵称更新相关的imagent崩溃极为罕见，仅占收集到的所有崩溃日志的0.001%以下。特别可疑的是，这些崩溃仅出现在可能成为APT攻击目标的个人设备上。对受影响设备的取证分析显示，存在与已知间谍软件清理程序一致的异常活动。至少在一台设备上，与短信附件和消息元数据相关的目录在imagent崩溃后仅20秒就被修改并清空，这种行为与已确认的商业间谍软件攻击技术相似。

详细信息：https://cybersecuritynews.com/imessage-0-click-exploit-iphone-users/

01 金眼狗（APT-Q-27）团伙近期使用“银狐”木马的窃密活动

金眼狗APT组织利用伪装为 Todesk 的恶意安装包发起攻击，运行后除了释放携带正常签名的 Todesk 安装软件，还会暗中植入 Winos4.0 远控。研究人员发现了大量类似的攻击样本，包括木马化的快连 VPN 和纸飞机等软件安装包。此次攻击活动中采用“银狐”类木马结合 Winos4.0 木马进行远程控制以及窃密，新增 Shellcode 后门以及对抗杀软等手段。

详细信息：https://mp.weixin.qq.com/s/W1NvFGqb012QghwyV0OerA2

02 图书管理员食尸鬼APT如何在夜间窃取数据

Librarian Ghouls，又名“Rare Werewolf”或“Rezet”，是一个以俄罗斯和独联体实体为目标的APT组织。自2024年底至2025年5月，该组织在俄罗斯和独联体国家开展大规模网络间谍与加密货币劫持活动。该威胁的显著特点是，攻击者倾向于使用合法第三方软件，而非自行开发恶意二进制文件。

攻击始于高度定向的钓鱼邮件，攻击者伪装成合法机构发送带有密码保护的ZIP压缩包，诱骗受害者执行看似无害的付款单据文件。启动后，使用Smart Install Maker制作的自解压安装程序会部署多阶段感染链。

详细信息：https://securelist.com/librarian-ghouls-apt-wakes-up-computers-to-steal-data-and-mine-crypto/116536/

03 海莲花组织疑似针对国产操作系统及 IOT 设备发起攻击

海莲花（OceanLotus），又称 APT32，近年来，多次针对国内重点单位展开攻击活动。该组织攻击手法多样，拥有大量自研武器，常在攻击活动不同阶段结合开源工具达成攻击目的。与此前屡次捕获的Windows后门木马不同，此次样本针对的是ARM64架构的系统。目前国产麒麟操作系统的核心架构ARM为主，该系统被广泛应用于政府、金融、工控等重点机构和领域，此次捕获后门同样具备针对麒麟系统的执行远程控制和数据窃取的能力。

详细信息：https://mp.weixin.qq.com/s/DwNJ067THVsQiDxpk8XRiA

04 新型 PathWiper 数据擦除恶意软件攻击乌克兰关键基础设施

乌克兰境内的一个关键基础设施实体成为一种名为 PathWiper 的先前未曾见过的数据擦除恶意软件的攻击目标。此次攻击是通过合法的端点管理框架实施的，这表明攻击者可能有权访问管理控制台，然后使用该控制台发出恶意命令并在连接的端点上部署 PathWiper 。PathWiper 与俄罗斯 Sandworm 组织有关联的 HermeticWiper 类似，PathWiper 使用更精确的程序化方法来识别和破坏驱动器。

详细信息：https://thehackernews.com/2025/06/new-pathwiper-data-wiper-malware.html

05 Bitter APT随着地理范围扩大而不断演变的攻击策略

2024 年 10 月至 2025 年 4 月期间，“Bitter”（也称为 TA397）针对与中国、巴基斯坦和其他印度邻国有关联的外交和政府实体发动了定向攻击。其主要的攻击方式仍然是网络钓鱼，通常利用伪造或被入侵的外交电子邮件账户。在最近的攻击活动中，该组织冒充了中国政府机构、马达加斯加和毛里求斯驻华大使馆以及韩国外交部等。

TA397 的恶意软件在过去十年中发生了显著演变——从基本的下载器发展到更先进的远程访问工具，例如 MuuyDownloader、BDarkRAT 和 MiyaRAT。这些工具大多是定制的，截至 2025 年似乎仍在积极开发中。

详细信息：https://thehackernews.com/2025/06/bitter-hacker-group-expands-cyber.html

06 与伊朗有关的黑客在长期的网络间谍活动中针对库尔德和伊拉克官员

一个名为 BladedFeline 的威胁行为者，该组织被认为是 OilRig （APT34 或 Hazel Sandstorm）的一个分支组织，至少自 2017 年开始运营，最初入侵了库尔德斯坦地区政府 (KRG) 的系统。此后，该黑客不断改进其工具包并扩大攻击范围，目标包括库尔德斯坦地区政府和伊拉克中央政府，以及乌兹别克斯坦的一家电信运营商。

ESET 在 2024 年 11 月指出：“BladedFeline 投入巨资从伊拉克组织收集外交和金融信息，表明伊拉克在伊朗政府的战略目标中发挥着重要作用。”

详细信息：https://thehackernews.com/2025/06/iran-linked-bladedfeline-hits-iraqi-and.html

01 新型AyySSHush僵尸网络入侵9000余台华硕路由器 植入持久化SSH后门

新型AyySSHush僵尸网络入侵华硕路由器，植入持久SSH后门，利用CVE-2023-39780漏洞绕过安全功能，攻击隐蔽且重启后仍有效，需警惕固件升级无法清除后门。截至 5 月 27 日，已确认近 9,000 台华硕路由器遭到入侵。尽管规模如此之大，但三个月内仅观察到 30 个相关请求，凸显了此次攻击活动的隐秘性。

详细信息：https://securityaffairs.com/178413/malware/new-ayysshush-botnet-compromised-over-9000-asus-routers-adding-a-persistent-ssh-backdoor.html

02 高通Adreno GPU零日漏洞遭利用，全球安卓用户面临攻击风险

高通（Qualcomm）近日紧急发布安全补丁，修复其Adreno GPU驱动程序中三个正在被积极利用的关键零日漏洞，这些漏洞已被用于针对全球安卓用户的定向攻击，涉及三星、谷歌、小米和一加等多个智能手机品牌。

被标记为CVE-2025-21479和CVE-2025-21480的两个漏洞属于高危漏洞，，CVSS评分为8.6分，攻击者可通过特定命令序列在GPU微码中执行未授权命令，导致内存损坏，可能引发权限提升和系统沦陷。第三个漏洞CVE-2025-27038的CVSS评分为7.5分，可被利用来绕过浏览器隔离机制，在目标系统上执行任意代码。

详细信息：https://cybersecuritynews.com/qualcomm-adreno-gpu-0-day-vulnerabilities/

03 谷歌在 6 月份的 Android 安全更新中修复了 34 个高危漏洞

谷歌6月份针对Android设备的安全更新包含34个漏洞，这些漏洞全部列为高危漏洞。攻击者可以利用最严重的漏洞——影响 Android 系统的 CVE-2025-26443——实现本地权限提升，而无需额外权限。谷歌表示，利用该漏洞需要用户交互。 

详细信息：https://cyberscoop.com/android-security-update-june-2025/

阅读原文

跳转微信打开

近期威胁情报速览！

01 GhostSpy：高级安卓远控木马窃取银行信息并绕过安全防护

一种名为 GhostSpy 的极其先进的 Android 远程访问木马 (RAT)，该木马能够在受害者不知情的情况下进行全方位监控、数据泄露和设备控制。GhostSpy 攻击活动始于一个欺骗性的植入程序 APK，该 APK 滥用 Android 辅助功能和 UI 自动化功能，秘密地侧载了第二个有效载荷 (update.apk)。通过模拟用户点击，它自动授予所有必要的权限，完全绕过了人工交互。

https://securityonline.info/ghostspy-advanced-android-rat-steals-banking-info-bypasses-security/

02 AppleProcessHub 使用 Objective-C 窃取开发者数据

一款名为 AppleProcessHub 的隐秘新型 macOS 信息窃取程序，基于 Objective-C 的独特植入器，能够滥用 Apple 的原生框架，并使用 AES 解密的命令与控制逻辑来执行恶意负载。“在 macOS 上，信息窃取者会收集钥匙串密码和加密货币钱包等私人信息，然后将其上传到攻击者控制的服务器。 ”

“AppleProcessHub”恶意软件旨在窃取敏感文件，通常包含身份验证令牌、shell 命令、端点 IP、内部主机名和私钥——对于针对个人和组织的威胁行为者来说，这是一个金矿。

https://securityonline.info/new-macos-infostealer-appleprocesshub-uses-objective-c-to-steal-developer-data/

03 PWA JavaScript 攻击，将用户重定向至成人诈骗应用程序

PWAs 是一种使用 Web 技术构建的应用程序，它提供与为 Windows、Linux、macOS、Android 或 iOS 等特定平台构建的原生应用程序类似的用户体验。“新的恶意攻击活动利用JavaScript注入将移动用户重定向到成人内容的PWA骗局。该攻击仅针对移动设备，通过PWA增加用户停留时间和绕过浏览器保护，最终引导用户到虚假应用商店。这种攻击方法表明攻击者在尝试更持久的钓鱼手段，主要针对移动用户以规避检测。

https://thehackernews.com/2025/05/researchers-expose-pwa-javascript.html

04 Venice.ai：无限制AI工具可生成Android间谍软件

Venice.ai，一个在地下黑客论坛上流行的无限制AI聊天工具。该平台每月收费18美元，提供高级语言模型的无限制访问，比其他暗网AI工具（如WormGPT和FraudGPT）便宜得多。Venice.ai的隐私设计（聊天记录仅存储在浏览器中）和可禁用的安全过滤器使其对网络犯罪分子极具吸引力。它能够生成钓鱼邮件、恶意软件和间谍软件代码，甚至在测试中成功生成了功能完备的勒索软件和Android间谍软件应用。

https://www.infosecurity-magazine.com/news/uncensored-ai-tool-cybersecurity/

05 FrigidStealer 恶意软件通过虚假 Safari 浏览器更新攻击 macOS 用户

一种名为 FrigidStealer 的已知 macOS 恶意软件变种正在通过令人信服的虚假浏览器更新提示攻击 Apple 用户，使用基于 DNS 的数据盗窃方法窃取密码、加密钱包和笔记。该变种于 2025 年 2 月首次发现，并由Hackread.com报道，属于Ferret恶意软件家族，目前已影响到北美、欧洲和亚洲的用户。

该恶意软件毒株与 TA2726 和 TA2727 有关，这两个病毒都以使用虚假浏览器更新作为攻击媒介而闻名。此外，它还与面向公众的行业（尤其是零售业和酒店业）感染激增有关。

https://hackread.com/frigidstealer-malware-macos-fake-safari-browser-update/

01 伪装韩国国家安全战略智库的APT37攻击案例分析

2025年3月，APT37威胁行为者针对多名关注朝鲜的活动人士发起了鱼叉式网络钓鱼攻击。该电子邮件包含一个Dropbox链接，该链接指向一个包含恶意快捷方式（LNK）文件的压缩包。提取并执行该LNK文件后，会激活包含关键字“toy”的其他恶意软件。根据威胁的特征，Genians 安全中心 (GSC) 将该活动命名为“Operation: ToyBox Story”，并开始深入分析。

https://www.genians.co.kr/en/blog/threat_intelligence/toybox-story

02 俄罗斯黑客利用电子邮件和VPN漏洞来监视乌克兰援助物流

自2022年以来，俄罗斯网络威胁行为者一直被归咎于一场由政府支持的、针对西方物流实体和科技公司的攻击活动。据评估，此次活动由APT28（又名Fancy Bear）策划，该组织与俄罗斯总参谋部情报总局（GRU）第85总特别服务中心第26165军事单位有关联。

根据最新的安全公告，APT28 策划的网络攻击据称涉及密码喷洒、鱼叉式网络钓鱼以及修改 Microsoft Exchange 邮箱权限以进行间谍活动。最初入侵目标网络是通过以下七种不同方法实现（包含钓鱼攻击、漏洞利用以及暴力破解），一旦 Unit 26165 攻击者使用上述方法之一站稳脚跟，攻击就会进入后利用阶段，包括进行侦察以识别其他目标关键岗位人员、负责协调运输的人员以及与受害实体合作的其他公司。

https://thehackernews.com/2025/05/russian-hackers-exploit-email-and-vpn.html

03 南亚各部委遭 SideWinder APT 攻击，利用旧 Office 漏洞和自定义恶意软件

SideWinder 针对斯里兰卡、孟加拉国和巴基斯坦的高级政府机构展开新的攻击，该攻击链利用鱼叉式网络钓鱼诱饵作为起点，激活感染过程并部署一种名为 StealerBot 的已知恶意软件。值得指出的是，该攻击手法与卡巴斯基在 2025 年 3 月记录的近期 SideWinder 攻击一致。这些攻击的特点是利用 Microsoft Office 中存在多年的远程代码执行漏洞（CVE-2017-0199 和 CVE-2017-11882）作为初始载体，部署能够在南亚各地政府环境中维持持续访问的恶意软件。

https://thehackernews.com/2025/05/south-asian-ministries-hit-by.html

04 南亚“苦象”攻击组织近期样本分析

2025年初，南亚“苦象”攻击组织针对中国、巴基斯坦等国相关机构，其中一例典型的钓鱼邮件，主题为“Ministry of Foreign Affairs Document”（外交部文件），邮件携带两个恶意附件。通过鱼叉式钓鱼邮件投递CHM、PDF等恶意载荷，利用远控木马（如wmRAT、MiyaRAT）和窃密木马等实现持久控制与信息窃取，攻击载荷涵盖信息收集、文件操作、命令执行等功能。

https://mp.weixin.qq.com/s/d_bYkerQrlyHw33Fc4OUUQ

05 与俄罗斯相关的黑客利用武器化的Word文档攻击塔吉克斯坦政府

与俄罗斯结盟的威胁行为者 TAG-110（又称 UAC-0063），与俄罗斯民族国家黑客团队 APT28 存在重叠，使用启用宏的 Word 模板作为初始有效载荷，针对塔吉克斯坦开展鱼叉式网络钓鱼活动。攻击活动始于 2025 年 1 月，TAG-110 利用启用宏的 Word 文档来传播基于 HTA 的恶意软件 HATVIBE，以进行初始访问。新检测到的文档不包含用于创建计划任务的嵌入式 HTA HATVIBE 有效负载，而是利用 Word 启动文件夹中的全局模板文件来实现持久化。

https://thehackernews.com/2025/05/russia-linked-hackers-target-tajikistan.html

06 关于“游蛇”黑产攻击活动的风险提示

“游蛇”自2022年下半年开始频繁活跃至今，针对国内用户发起了大量攻击活动，以图窃密和诈骗。该黑产团伙主要通过即时通讯软件（微信、企业微信等）、搜索引擎SEO推广、钓鱼邮件等途径传播恶意文件，其传播的恶意文件变种多、免杀手段更换频繁且攻击目标所涉及的行业广泛。

https://www.secrss.com/articles/79032

07 俄罗斯 APT 组织利用零日漏洞和擦除器加强对欧洲的攻击

ESET Research在其《2024 年第四季度至 2025 年第一季度APT 活动报告》中记录了 2024 年 10 月至 2025 年 3 月期间来自朝鲜、伊朗、俄罗斯和其他一些国家的一些主要高级持续性威胁 (APT) 组织的活动。在监测期间，与俄罗斯结盟的威胁行为者，尤其是 Fancy Bear、Gamaredon 和 Sandworm，继续其积极的攻击活动，主要针对乌克兰和欧盟国家。乌克兰的关键基础设施和政府机构遭受了最为猛烈的网络攻击。

https://www.infosecurity-magazine.com/news/russian-apt-intensify-cyber/

08 TransparentTribe针对阿富汗监狱管理局的鱼叉式钓鱼邮件攻击

TransparentTribe组织利用邮件投递名称为“opa.zip”的压缩文件，文件名称指向阿富汗监狱管理局（opa.gov.af）。该压缩文件解压后，是包含多个图片，PDF文件，Excel文档等文件组成的诱饵文件集。恶意文件被压缩隐藏在其中一个文档中，运行后会执行嵌入的VBA脚本，以提取文件中的恶意程序并运行。

本次攻击中使用的最终载荷为CrimsonRAT远程控制程序，是TransparentTribe攻击组织的常用木马。该RAT具备收集系统信息、下载运行文件、窃取敏感信息等功能。

https://mp.weixin.qq.com/s/bE2TnA4mDOr37_so-oATqA

09 Marbled Dust 利用 Output Messenger 中的零日漏洞进行区域间谍活动

自2024年4月以来，威胁行为者Marbled Dust利用Output Messenger中的零日漏洞（CVE-2025-27920）攻击伊拉克境内与库尔德军方有关联的用户，收集用户数据并部署恶意文件。Marbled Dust 利用该漏洞在启动文件夹中植入恶意脚本。攻击者可以利用服务器的文件共享功能上传文件并操纵文件路径来执行任意代码。一旦进入系统，攻击者便可以访问所有用户通信、窃取数据、冒充用户并窃取凭证。

Marbled Dust 是一家与土耳其相关的间谍威胁行为体，与 Sea Turtle 和 UNC1326 等其他安全厂商追踪的活动存在重叠。目标对象是欧洲和中东的实体，尤其是可能与土耳其政府利益相悖的政府机构和组织。

https://www.microsoft.com/en-us/security/blog/2025/05/12/marbled-dust-leverages-zero-day-in-output-messenger-for-regional-espionage/

10 朝鲜支持的TA406组织利用恶意软件攻击乌克兰

与朝鲜国家结盟的威胁行为者TA406（也称Opal Sleet，Konni）在持续的战争中已将重点从俄罗斯转向乌克兰。该组织针对乌克兰政府实体的新的网络安全间谍活动，其中包括旨在获取凭证和投放旨在进行长期情报收集的复杂恶意软件的网络钓鱼电子邮件。

该组织在2025年2月冒充智库官员诱骗收件人下载恶意文件。电子邮件诱饵提及了乌克兰当前的政治事务，并冒充了一位虚构的“皇家战略研究所”研究员。目标收到了指向 MEGA 托管的受密码保护的 RAR 存档的链接。解密后，这些文件会通过嵌入的 PowerShell 脚本启动恶意软件，进行深入的主机侦察。

https://www.infosecurity-magazine.com/news/dprk-backed-ta406-targets-ukraine/

01 iOS内核漏洞公开PoC曝光：越狱与权限提升风险浮现

研究人员公开iOS高危漏洞CVE-2023-41992的PoC，该漏洞可绕过签名验证并提权，影响iOS 16.7/17.0.1等系统，已被苹果修复但旧设备仍面临风险，可能被用于越狱工具开发。

https://securityonline.info/ios-kernel-vulnerability-exposed-in-public-poc-potential-jailbreak-and-privilege-escalation-risk/

02 苹果发布安全更新，修复 iOS 和 macOS 中的多个漏洞

Apple 发布了紧急 iOS 和 macOS 安全更新，以修补严重漏洞，这些漏洞可能允许攻击者仅通过打开精心设计的图像、视频或网站即可执行恶意代码。

https://securityaffairs.com/177748/security/apple-released-security-updates-to-fix-multiple-flaws-in-ios-and-macos.html

阅读原文

跳转微信打开

新一代智能终端系统漏洞检测工具

近日，OpenHarmony安全委员会第八次会议暨“聚智聚力，共筑OpenHarmony安全生态”论坛在武汉国家网络安全空间人才与创新基地成功召开。安天移动作为委员单位受邀参与了此次会议，并以“面向OpenHarmony设备的漏洞检测实践与工具能力构建”为主题，分享了当前OpenHarmony设备面临的主要漏洞威胁、自主研发的漏洞检测技术方案和检测工具的应用。

作为开源生态的核心基石，OpenHarmony已全面赋能智能手机、物联网设备及智能家居领域，构建起连接亿级终端的分布式智能网络。随着万物互联进程加速，设备数量呈现爆发式增长，系统漏洞数量也随之激增，为整个生态带来严峻的安全挑战。

以鸿蒙系统为例，根据官方安全公告统计，近五年披露的高危漏洞占比高达33%。这些高危漏洞一旦被利用，将直接导致设备控制权沦陷、敏感数据大规模泄露等系统性安全事件，对用户隐私和数字资产构成严重威胁。

面对日益严峻的终端安全挑战，安天移动威胁情报团队基于多年移动端漏洞攻防研究及威胁响应经验，推出新一代智能终端系统漏洞检测工具：MVS移动智能终端漏洞检测系统（简称MVS）。

MVS融合了动静态多重先进扫描技术，全面覆盖CVE、CNVD和CNNVD官方发布带有补丁的中高危以上漏洞，适配Android、OpenHarmony、Linux等系统环境，并针对异构终端提供稳定高效的漏洞检测能力，实现99.9%漏洞秒级检出，为智能设备安全保驾护航。

MVS系统漏洞检测产品已达成3项突破：

• 单台设备平均检测时长10分钟左右，同时支持并发检测；

• 漏洞覆盖率95%以上，CVE、CNVD、CNNVD官方权威漏洞全覆盖；

• 检测准确率95%以上，经客户场景验证；

MVS检测报告

我们以"精准检测、高效响应"为核心，构建了业界领先的"运营-检测-分析-响应"一体化安全防护体系。产品架构以检测引擎为核心，结合静态与动态双重分析能力，配套丰富的特征库与大数据支撑，实现漏洞的高效识别与精准定位。

通过高度自动化运营系统与专业团队，MVS每月更新漏洞库，确保产品检测能力始终领先。同时，检测引擎100%自主研发，获国家软件著作权认证，完全符合国产化安全要求。

产品架构图

• 面向移动终端检测机构

提供标准、完善和详细的漏洞检测结果报告，为检测机构提供系统的漏洞测评技术支持。

• 面向移动终端生产厂商

高效的漏洞检测能力帮助生产厂商第一时间发现设备漏洞，并提供补救方案使其尽快修复并满足合规需求。

• 面向移动终端使用重点单位

帮助设备使用方了解自身资产的安全合规状况，及时采取对策以应对不合规带来的安全风险。

开放试用

未来，我们将持续建设和运营面向OpenHarmony生态的权威漏洞数据库。

现诚邀部分合作伙伴参与内测计划，欢迎访问官网（mvs.avlsec.com）了解产品详情，抢先试用在线版OpenHarmony系统漏洞检测工具。

App端检测效果预览

企业级解决方案定制通道已开启，让我们携手共建更安全、更可靠的OpenHarmony生态系统。

武汉安天信息技术有限责任公司（简称安天移动安全）成立于 2010 年，是安天科技集团旗下专注于移动智能用户生态安全防护的科技公司。自主创新的移动反病毒引擎，在 2013 年以全年最高平均检出率荣获 AV-TEST“移动设备最佳防护”奖，实现了亚洲安全厂商在全球顶级安全测评领域重量级奖项零的突破。经过十余年的发展与积累，公司的反病毒引擎产品已与移动终端设备厂商、移动应用开发者、运营商、监管部门等移动设备产业链上下游企业机构伙伴成功合作，为全球超 30 亿移动智能终端设备提供全维度、全生命周期安全护航，已发展成为全球领先的移动互联网安全防护厂商。安天移动安全始终秉承安全普惠使命，通过自主创新国际领先的安全核心技术，与产业链各方共同打造操作系统内生安全的绿色生态链，为新时代用户打造国民级安全产品，在万物互联时代营造更安全和可持续的全场景健康数字体验。

安天移动威胁情报团队致力于移动APT活动研究及移动安全攻防对抗技术研究，由一支拥有前沿移动端安全对抗技术、多年境外APT组织实战对抗经验、漏洞分析与挖掘能力的一流安全工程师团队组成。在近些年，成功通过基于安天移动样本大数据的APT特马风控预警运营体系，持续发现包含肚脑虫、利刃鹰、APT37等多个APT组织的移动端攻击活动，并依托该体系建立了一线移动端攻击活动的捕获能力、拓线溯源分析能力。安天移动威胁情报团队未来将仍持续专注于移动安全领域研究，以安全普惠为核心价值观，建设一支召之即来，来之能战，战之必胜的顶尖网络安全团队，并将长久且坚定地维护移动网络世界安全。

阅读原文

跳转微信打开

近期威胁情报速览！

01 Triada木马升级：预装安卓恶意软件现已植入设备固件

臭名昭著的安卓恶意软件Triada木马已进化出突破移动生态系统最新防护的能力。攻击者现在将复杂的多阶段加载器直接嵌入设备固件，使木马能感染Zygote进程，进而危害系统上运行的所有应用程序。通过这种方式，Triada获得全面控制权，能将恶意载荷注入用户启动的任何应用。除非完全重装系统，否则几乎无法清除。

详细信息：https://securityonline.info/triada-trojan-evolves-pre-installed-android-malware-now-embedded-in-device-firmware/

02 Darcula网络钓鱼作为服务行动吞噬80万以上的受害者

网络钓鱼即服务 (PhaaS) 行动在短短几个月内就使数十万人受害。Darcula 旨在通过网络钓鱼信息针对 iPhone 和 Android 用户，诱骗他们交出信用卡详细信息。该恶意软件在全球范围内运营，诱骗受害者点击冒充快递公司等品牌的短信、RCS 和 iMessage 短信。受害者被要求支付运费才能收到他们的“包裹”，并支付道路过路费等等。此前有关该行动的报道强调了其持续发展，包括生成人工智能等新功能，用于创建定制的短信网络钓鱼活动，以及反取证功能。

详细信息：https://www.infosecurity-magazine.com/news/darcula-phishing-as-a-service/

03 黑客窃取了 TeleMessage 的客户数据，出售给美国政府的应用程序信息遭泄露

一名黑客窃取了 TeleMessage 的客户数据。TeleMessage 是一家以色列公司，向美国政府出售 Signal 和 WhatsApp 等热门消息应用程序的修改版。“黑客窃取的数据包含一些使用其 Signal 克隆版发送的私信和群聊内容，以及 WhatsApp、Telegram 和微信的修改版。”404media 报道。“黑客访问 TeleMessage 面板的一张截图列出了 CBP 官员的姓名、电话号码和电子邮件地址。” 虽然并非所有数据都被访问，但该威胁行为者仅用 20 分钟就入侵了该公司，引发了国家安全担忧。

详细信息：https://securityaffairs.com/177458/hacking/a-hacker-stole-data-from-telemessage-the-firm-that-sells-modified-versions-of-signal-to-the-u-s-gov.html

04 苹果向全球间谍软件攻击的新受害者发出通知

苹果公司向 100 个国家/地区的用户发出威胁通知，告知他们手机可能已成为高级商业间谍软件的攻击目标。据TechCrunch报道，目标用户包括一名意大利记者和一名荷兰活动家。此消息传出之际，Meta-NSO 集团一案已进入下一阶段，Meta 要求这家间谍软件公司支付超过 44 万美元的补偿性赔偿金。作为回应，NSO 集团指责 Meta 夸大损失，并允许恶意软件留在 WhatsApp 服务器上以“窃取 NSO 的商业机密”。

详细信息：https://techcrunch.com/2025/04/30/apple-notifies-new-victims-of-spyware-attacks-across-the-world/

05 新型逆向 NFCGate 技术曝光

合法的NFCGate应用程序已被滥用，从俄罗斯银行客户那里窃取了 4000 万卢布。该应用程序用于捕获、分析或修改来自 Android 设备的近场通信 (NFC) 流量。欺诈者被发现修改该应用程序，将其伪装成政府和银行服务来开展活动。

2025 年 3 月，俄罗斯估计有 18 万台设备被入侵，这些设备安装了 NFCGate 和另一种名为CraxsRAT的恶意软件，其中超过 1000 起已确认的攻击是使用 NFCGate 反向版本针对俄罗斯主要银行的客户进行的。攻击者试图诱骗受害者下载恶意应用程序，一旦安装并打开，受害者就会收到一个弹出窗口，提示他们需要将恶意软件设置为非接触式支付的默认应用程序。然后，攻击会以各种借口引导受害者前往 ATM 机，将钱存入自己的账户。

详细信息：https://thehackernews.com/2024/11/ghost-tap-hackers-exploiting-nfcgate-to.html

01 ColdRiver 使用LostKeys 恶意软件对西方政府和组织进行间谍攻击

一种名为 LOSTKEYS 的新型恶意软件，它被与俄罗斯有关联的 APT COLDRIVER 在最近的攻击中用于窃取文件和收集系统信息。受害者包括西方顾问、记者和与乌克兰有关联的个人。他们的主要目标是为俄罗斯利益收集情报，偶尔也会进行黑客攻击和泄密。LOSTKEYS 的 VBS是一种恶意软件，能够从硬编码的扩展名和目录列表中窃取文件，并向攻击者发送系统信息和运行进程。

详细信息：https://securityaffairs.com/177638/apt/russia-linked-coldriver-used-lostkeys-malware-in-recent-attacks.html

02 APT36 式 ClickFix 攻击伪装印度政府部门

印度国防部最近被发现通过类似 ClickFix 的感染链传播跨平台恶意软件。ClickFix偏向于重复使用公共部门品牌、在网络资产目录中分阶段安装恶意软件以及针对 Windows 和 Linux 以最大限度地提高效率。最近一次攻击者冒充了印度国防部，其结构和布局与合法门户网站非常相似。

威胁行为者试图重建该部的公共文件档案，列出从 2023 年 9 月到 2025 年 4 月的每月新闻稿。然而，在克隆的页面上，只有一个链接（对应于 2025 年 3 月）处于活动状态，而所有其他月份都显示静态“无数据”状态。

详细信息：https://hunt.io/blog/apt36-clickfix-campaign-indian-ministry-of-defence

03 Lemon Sandstorm针对中东关键国家基础设施的入侵

此次入侵至少从2023年5月持续到2025年2月，攻击者最初通过窃取VPN凭证获取访问权限，并通过多个Web Shell和后门（包括Havoc、HanifNet、HXLibrary和NeoExpressRAT）实现了持久化。他们使用plink、Ngrok、glider proxy和ReverseSocks5等开源代理工具绕过了网络分段。

此次袭击分为四个不同的阶段：建立立足点和初始行动、巩固立足点、初步补救措施和攻击者响应和入侵遏制与最终对手响应。攻击者展示了先进的战术，使其能够深度嵌入、逃避检测并维持长期访问。尽管采取了遏制措施，但对手仍在持续试图重新获得访问权限，表明其对该环境抱有长期战略兴趣。

详细信息：https://www.fortinet.com/blog/threat-research/fortiguard-incident-response-team-detects-intrusion-into-middle-east-critical-national-infrastructure

04 APT-C-51（APT35）组织最新攻击活动分析

APT-C-51近期通过恶意lnk下发后续恶意组件，然后层层加载最终实现#PowerLess木马 的部署针对中东地区的攻击。LNK文件一旦被执行，会释放伪装文档并打开，以此来迷惑用户。此外还会释放多个恶意DLL以及加密数据文件，并执行相应DLL，然后通过层层解密并最终加载PowerLess脚本， 从而开启窃密行动。

详细信息：https://mp.weixin.qq.com/s/nY2Hyg6ZsM7ViXW1lhO2Ag

01 谷歌修复了被积极利用的 Android 漏洞 CVE-2025-27363

谷歌发布了 2025 年 5 月 Android 安全更新，修复了 45 个安全漏洞，包括一个被积极利用的零点击 FreeType 2 代码执行漏洞。影响安卓13-15版本，建议用户尽快更新。安卓12及更早版本不再受支持，需考虑升级或第三方修复方案。

本月修复的其余漏洞涉及框架、系统、Google Play 和 Android 内核中的问题，以及联发科、高通、Arm 和 Imagination Technologies 专有组件中的安全漏洞。Android 核心组件中的所有缺陷均被评为高严重性，其中大多数是特权提升问题。建议使用 Android 13 以上版本的用户考虑使用包含针对不受支持设备的安全修复程序的第三方 Android 发行版，或者迁移到其 OEM 支持的较新型号。

详细信息：https://www.bleepingcomputer.com/news/security/google-fixes-actively-exploited-freetype-flaw-on-android/

02微软披露 macOS 漏洞 CVE-2025-31191 详情

微软已公布 macOS 漏洞CVE-2025-31191的详情。该漏洞存在于 Apple 的 CoreServices 组件中，可能允许恶意应用访问敏感用户数据。攻击者可以创建漏洞利用程序，在无需用户交互的情况下逃离 macOS 沙盒，并执行进一步的恶意操作，例如提升权限、窃取数据和部署其他有效载荷。Apple 已于 2025 年 3 月下旬在 macOS Sequoia 15.4 中解决了该问题。

详细信息：https://support.apple.com/en-us/122373

03可蠕虫化AirPlay漏洞：公共Wi-Fi环境下可零点击远程控制苹果设备

网络安全研究人员近日披露了苹果AirPlay协议中一系列现已修复的安全漏洞，攻击者可串联利用这些漏洞，控制支持AirPlay的设备——包括苹果设备和采用AirPlay SDK（软件开发工具包）的第三方设备。其中CVE-2025-24252与CVE-2025-24132等漏洞组合后，可形成无需用户交互的蠕虫化远程代码执行（RCE，Remote Code Execution）攻击链，使恶意软件能在受感染设备连接的任何本地网络中传播。

详细信息：https://thehackernews.com/2025/05/wormable-airplay-flaws-enable-zero.html

04 Cisco IOS XE 无线控制器漏洞可使攻击者完全控制设备

思科披露了其 IOS XE 无线局域网控制器中的一个严重安全漏洞，该漏洞可能允许未经授权的攻击者完全控制受影响的设备。漏洞编号为 CVE-2025-20188，最高严重等级为 10.0，允许未经身份验证的远程攻击者在受影响的系统上上传任意文件、遍历目录并以 root 权限执行命令。网络安全专家表示：“此漏洞对使用受影响思科无线控制器的企业网络构成重大风险。远程访问、无需身份验证以及根级命令执行等因素的结合，使得此漏洞尤为危险。”

详细信息：https://cybersecuritynews.com/cisco-ios-xe-wireless-controllers-vulnerability/

阅读原文

跳转微信打开

近期威胁情报速览！

本期导读：

移动安全

● 伪装成Alpine Quest的恶意地图应用被曝监控俄军动向

● 新型恶意软件"超级卡X"通过NFC中继攻击瞄准安卓设备

● 新型 Android 恶意软件 Gorilla 拦截短信窃取一次性密码

● 手机非法植入“虚拟相机”，轻松骗过“人脸识别”

● SpyNote、BadBazaar、MOONSHINE 恶意软件通过虚假应用程序攻击 Android 和 iOS 用户

APT事件

● APT29部署GRAPELOADER 恶意软件，以葡萄酒品尝为诱饵攻击欧洲外交官

● 朝鲜利用虚假 Python 编码挑战攻击加密货币开发者

● Lazarus 黑客利用水坑攻击入侵六家公司

● 通过虚假求职活动，与Murkytour恶意软件的目标针对以色列

漏洞新闻

● 苹果修复了两个被恶意利用的 iOS 漏洞，曾被用于复杂的定向攻击

● Google4月安卓漏洞更新，修补已遭利用的0day漏洞

01 伪装成Alpine Quest的恶意地图应用被曝监控俄军动向

在多个社交、短视频平台上，有着不少宣称可“规避网约车人脸识别”的账号。在淘宝、闲鱼等电商平台上，也发现了大量店铺提供“虚拟相机工具”“硬改摄像头”相关服务，用于社交中的“虚拟视频”、电商“无人直播”等需求。在手机上改装植入一款“虚拟相机”应用程序，轻松突破平台“人脸识别”防线。

这主要是采取了一种叫做“注入攻击”的方式，原理是对手机终端越狱并安装“注入程序”，当开启人脸验证后，程序识别到与相机数据采集相关的关键函数后，使用工具将自定义视频或图像注入目标进程，绕过物理相机的数据流，对真实环境进行“隔离”，从而“欺骗”平台程序。整个流程所需要当事人“配合”提供几张不同角度的人脸照片并深度伪造软件处理。

Google本月发布针对 62 个漏洞的补丁，其中两个漏洞据称已被广泛利用。

两个高危漏洞如下：

·CVE-2024-53150（CVSS 评分：7.8）- 内核 USB 子组件中存在越界缺陷，可能导致信息泄露

END

阅读原文

跳转微信打开

移动端活跃恶意木马呈现"V型"复苏态势

点击蓝字

关注我们

移动端攻击活动主要趋势

·移动端主要恶意软件类型为“流氓行为”和“资费消耗”

·移动端活跃恶意木马呈现"V型"复苏态势

·活跃手机银行木马仿冒知名银行的情况较为突出

·活跃移动间谍木马Trojan/Android.TTctrl.a，具备金融窃密和远程控制双重危害

·国内各省感染终端量平均降幅达30.93%

一、常见恶意软件活跃情况

安天Avl威胁情报中心每月对移动端活跃的恶意软件进行跟踪，移动端恶意软件主要分为8大类：资费消耗、流氓行为、隐私窃取、系统破坏、诱骗欺诈、恶意扣费、远程控制、恶意传播。

移动端常见恶意软件类型活跃趋势对比如下图：

‍‍‍‍‍‍‍‍‍‍‍‍‍‍当前移动端主要恶意软件类型为“流氓行为”和“资费消耗”，合计占比超八成。

Q1季度监测显示，移动端恶意软件类型活跃度持续走低，3月较1月感染终端量下降6.71%。其中，"恶意扣费"类降幅最大-37.67%，从影响终端量来看，"资费消耗"类削减最为显著，"流氓行为"类次之。

整体趋缓态势下，分析师发现3月"远程控制"类木马出现异常增长，感染终端量环比激增245.67%，以Trojan/Android.QHooPlayer为首的多个远控类型恶意木马快速蔓延(详情见后文)。

移动端活跃恶意木马家族TOP10如下图:

监测数据显示，Q1季度移动端TOP10恶意木马家族活跃度呈现明显波动：2月影响范围有所收窄，但3月再度反弹，整体呈现"V型"复苏态势。

排名靠前的恶意木马主要伪装成色情应用和钱包应用，以窃取用户财产为目的。Q1排名前三的恶意木马家族为：

Trojan/Android.Dropper.fo（19.40%）该家族活跃恶意应用多为色情应用，木马主要功能为下载和传播恶意子包，通过恶意子包进行恶意活动，从而给用户造成资费消耗。

Trojan/Android.anleipay.e占比13.07%，该家族伪装成色情应用，运行后会有诱惑性内容诱导用户付费，应用内显示支付金额与实际支付金额不同，造成用户的财产损失。

Trojan/Android.FakeWallet.f（11.72%）出现在区块链钱包应用中，获取受害设备在创建身份和恢复身份时的助记词，随即上传至攻击者的服务器，攻击者即可通过助记词直接窃取受害者的账户，将虚拟货币进行转移。

3月监测发现，QHooPlayer家族表现活跃，具备远控特征，可导致用户隐私泄漏和财产损失。

Trojan/Android.QHooPlayer.a（4.89%）伪装成色情应用（如“xx视频”），运行下载子包，子包会申请无障碍服务，拦截短信等隐私信息，远控执行唤醒屏幕、截图等操作。分析发现名为“夜猫视频”异常活跃，样本图标如下：

TOP10其余病毒家族详情如下：

Trojan/Android.FakeRoot.b（11.22%）该程序伪装成root工具，无实际功能，运行后加载广告，诱导用户购买vip，造成用户资费消耗。

Trojan/Android.MTCrackApp.a（9.85%）指被攻击者使用MT管理器进行了破解、重打包之后的非官方应用，通常会植入一些广告或恶意代码，给用户带来未知风险和资费消耗。

Trojan/Android.Fobus.a（9.66%）程序伪装成系统应用，部分应用启动后删除图标，且不能正常卸载，上传用户的短信息和联系人信息到远程服务器，私自下载未知软件、发送和拦截短信，给用户造成隐私泄露和资费消耗。

Trojan/Android.huanji.a（9.32%）该家族应用存在免杀功能，联网获取杀毒软件列表以逃避检测，并且留有后门，能联网下载并静默安装任意应用、创建快捷方式，甚至存在模拟点击、恶意刷量、发送大量网络请求等恶意功能。

Trojan/Android.Nakedchat.hn（6.88%）该程序伪装成正常应用，运行窃取通讯录，并上传到指定网址，造成用户隐私泄露。

Trojan/Android.GLocker.kq（3.99%）该应用为勒索软件，置顶界面勒索用户，造成用户手机无法正常使用。

二、活跃手机银行木马

移动端银行木马家族TOP5如下图：

Trojan/Android.FakeBank.av，连续3月排名TOP1的手机银行木马，占比超70%，多伪装成银行相关应用，非官方应用，可能会导致用户财产受到损失。经分析，该家族仿冒知名银行的情况较为突出，样本图标及名词如下：

Trojan/Android.nbank.g（10.75%）伪装正常应用，运行隐藏图标，请求激活设备管理器，上传用户手机固件、联系人、短信、彩信、通话录音、程序安装列表等隐私信息，还会判断是否存在指定银行app上传包名，同时存在私发短信、修改手机设置、拨打电话、设置置顶虚假界面等高危行为，造成用户隐私泄露和资费损耗。

Trojan/Android.GBanker.gx（4.86%）又名Coper家族，多伪装成Google Play 商店、Chrome浏览器，一旦安装就会释放 Coper 恶意软件，拦截和发送 SMS 文本消息，使用 USSD（非结构化补充服务数据）请求发送消息、键盘记录、锁定/解锁设备屏幕、执行过度攻击和防止卸载。攻击者通过 C2 服务器远程控制并访问受感染设备，使其执行下发的命令，利用获取到的信息窃取受害者钱财。

Trojan/Android.FakeBank.n（3.41%）伪装浦发银行界面，诱骗用户输入手机号码，银行卡查询密码及取款密码，监听用户信箱变化，并上传服务器，造成用户隐私泄漏。

Trojan/Android.nbank.i（2.48%）程序运行隐藏图标，加载恶意子包，子包中存在上传用户手机固件、联系人、短信、彩信、通话录音、程序安装列表等隐私信息的行为，还会判断是否存在指定银行app上传包名，同时存在私发短信、修改手机设置、拨打电话、设置置顶虚假界面等高危行为，造成用户隐私泄露和资费损耗。

三、活跃移动间谍木马

间谍木马家族活跃趋势如下图：

活跃移动间谍木马中spymax家族仍占据主导地位，影响占比超50%。3月监测到Trojan/Android.TTctrl.a活跃增强，远控类木马，具备金融窃密和远程控制双重危害。

Trojan/Android.spymax.d（37.76%）运行后隐藏图标，联网私自下载恶意间谍子包，窃取用户地理位置、wifi信息、私自拍照、录像，造成用户隐私泄露。

Trojan/Android.spymax.i（18.59%）Spymax变种，Spymax是恶名昭著的商业间谍木马，具有强大的隐匿功能，主要通过动态从服务器获取加载恶意代码来执行其恶意行为。

Trojan/Android.TTctrl.a（17.34%）该样本伪装成正常软件（如“xx菜谱”“xx万年历”），实际运行后从网络获取指令并执行，获取设备信息（网络状态、电池状态、锁屏密码等），设置允许应用自启动，开启通知监听，通过无障碍服务进行模拟点击、窃取应用界面信息，上传密码，可以进行盗刷等，造成用户隐私泄露并侵害用户金融安全。

Trojan/Android.SpinOK.a（14.69%）该应用被植入恶意代码，安装后会上传设备指定文件目录下内容、剪贴板内容，可能导致隐私泄露。

Trojan/Android.BankerSpy.d本月占比11.61%，样本会伪装成安全防护类软件，运行后拦截用户短信，上传用户短信箱、联系人、手机基本信息和银行相关隐私信息，造成用户隐私泄露.

四、国内受害区域分布情况

移动端攻击活动国内受害区域分布趋势如下图：

国内受害终端主要集中在我国中东部及沿海经济发达省份，与人口密度和移动支付普及率呈正相关。

从受害区域分布趋势来看，Q1季度高发省份受害终端连月递减，平均降幅达30.93%，其中河北省改善最为明显，下降36.16%。

关于安天移动安全

武汉安天信息技术有限责任公司（简称安天移动安全）成立于 2010 年，是安天科技集团旗下专注于移动智能用户生态安全防护的科技公司。自主创新的移动反病毒引擎，在 2013 年以全年最高平均检出率荣获 AV-TEST“移动设备最佳防护”奖，实现了亚洲安全厂商在全球顶级安全测评领域重量级奖项零的突破。经过十余年的发展与积累，公司的反病毒引擎产品已与移动终端设备厂商、移动应用开发者、运营商、监管部门等移动设备产业链上下游企业机构伙伴成功合作，为全球超 30 亿移动智能终端设备提供全维度、全生命周期安全护航，已发展成为全球领先的移动互联网安全防护厂商。安天移动安全始终秉承安全普惠使命，通过自主创新国际领先的安全核心技术，与产业链各方共同打造操作系统内生安全的绿色生态链，为新时代用户打造国民级安全产品，在万物互联时代营造更安全和可持续的全场景健康数字体验。

关于安天移动威胁情报团队

安天移动威胁情报团队致力于移动APT活动研究及移动安全攻防对抗技术研究，由一支拥有前沿移动端安全对抗技术、多年境外APT组织实战对抗经验、漏洞分析与挖掘能力的一流安全工程师团队组成。在近些年，成功通过基于安天移动样本大数据的APT特马风控预警运营体系，持续发现包含肚脑虫、利刃鹰、APT37等多个APT组织的移动端攻击活动，并依托该体系建立了一线移动端攻击活动的捕获能力、拓线溯源分析能力。安天移动威胁情报团队未来将仍持续专注于移动安全领域研究，以安全普惠为核心价值观，建设一支召之即来，来之能战，战之必胜的顶尖网络安全团队，并将长久且坚定地维护移动网络世界安全。

阅读原文

跳转微信打开

恶意软件整体较6月呈现活跃上升趋势

点击蓝字

关注我们

7月移动端新增威胁数据

·新增移动恶意样本9,611例

·新增手机银行木马119例

·新增移动间谍木马989例

7月移动端攻击活动主要趋势

·移动端主要恶意软件类型为“流氓行为”和“资费消耗”

·移动端活跃恶意木马TOP1为Trojan/Android.anleipay.e 家族，多伪装成色情应用，运行后利用诱惑性内容诱导用户付费

·活跃手机银行木马主要为Spynote木马

·活跃移动间谍软件多出自老牌间谍木马家族

·国内各省感染终端量环比上升均值为34.57%

一、常见恶意软件活跃情况

安天Avl威胁情报中心每月会对移动端活跃的恶意软件进行跟踪，移动端恶意软件主要分为8大类：资费消耗、流氓行为、隐私窃取、系统破坏、诱骗欺诈、恶意扣费、远程控制、恶意传播。

月度移动端常见恶意软件类型活跃趋势对比如下图：

本月移动端活跃恶意木马家族TOP10如下图：

7月移动端活跃木马家族TOP10新增家族：Trojan/Android.anleipay.e 排名第一，占比22.96%，该家族伪装成色情应用，运行后会有诱惑性内容诱导用户付费，应用内显示支付金额与实际支付金额不同，造成用户的财产损失。经分析，该家族一款名为“ATV”的色情应用十分活跃，已发现数万终端受害。

Trojan/Android.Obfus.c排名第九，占比3.58%，该程序启动隐藏图标，后台私自发送短信，获取并上传用户短信、电话号码、网络连接等信息，会造成用户隐私泄漏及资费消耗。进一步分析发现该家族本月活跃度较高的恶意样本如下：

其余病毒家族情况如下：

Trojan/Android.Dropper.fo（18.41%）该家族活跃恶意应用多为色情应用，木马主要功能为下载和传播恶意子包，通过恶意子包进行恶意活动，从而给用户造成资费消耗。

Trojan/Android.FakeWallet.f（11.70%）出现在区块链钱包应用中，获取受害设备在创建身份和恢复身份时的助记词，随即上传至攻击者的服务器，攻击者即可通过助记词直接窃取受害者的账户，将虚拟货币进行转移。

Trojan/Android.GSmsPay.cf（10.48%）内含恶意支付模块，在运行时会监听拦截短信，发送付费短信，给用户造成资费消耗。

Trojan/Android.MTCrackApp.a（9.65%）指被攻击者使用MT管理器进行了破解、重打包之后的非官方应用，通常会植入一些广告或恶意代码，给用户带来未知风险和资费消耗。

Trojan/Android.FakeRoot.b（8.19%）该程序伪装成root工具，无实际功能，运行后加载广告，诱导用户购买vip，造成用户资费消耗。

Trojan/Android.Nakedchat.hn（7.64%）该程序伪装成正常应用，运行窃取通讯录，并上传到指定网址，造成用户隐私泄露。

Trojan/Android.huanji.a（4.12%）该家族应用存在免杀功能，联网获取杀毒软件列表以逃避检测，并且留有后门，能联网下载并静默安装任意应用、创建快捷方式，甚至存在模拟点击、恶意刷量、发送大量网络请求等恶意功能。

Trojan/Android.GFakeApp.fj（3.27%）伪装成非官方应用，如WhatsApp，包含风险行为代码。

二、活跃手机银行木马

本月移动端银行木马家族TOP5如下图：

Trojan/Android.spynote.a（60.74%），当前最活跃的手机银行木马，连续三月影响终端量减少，该家族应用运行时，会后台上传用户的设备信息，获取远控指令，根据远控指令获取用户短信、联系人、通话记录、浏览器书签、地理位置等，同时会后台推送应用、录音、发送/删除短信、联系人、拨打电话等，造成用户隐私泄露和资费消耗。

Trojan/Android.GBanker.gx（15.56%）又名Coper家族，多伪装成Google Play 商店、Chrome浏览器，一旦安装就会释放 Coper 恶意软件，拦截和发送 SMS 文本消息，使 USSD（非结构化补充服务数据）请求发送消息、键盘记录、锁定/解锁设备屏幕、执行过度攻击和防止卸载。攻击者通过 C2 服务器远程控制并访问受感染设备，使其执行下发的命令，利用获取到的信息窃取受害者钱财。

Trojan/Android.Cerberus.a（11.11%）该家族是一款臭名昭著的银行木马，最早出现于2019年6月，运行激活设备管理器，隐藏图标，监听用户的短信、通知栏信息，接收远程指令，窃取通讯录、日志、短信等信息并联网上传，私自发送短信，访问未知页面，造成用户的资费消耗和隐私泄露。

Trojan/Android.GBanker.dn（8.89%）该家族应用运行后隐藏图标，诱导用户激活设备管理器或修改系统设置，窃取位置信息，拦截窃取短信，造成用户隐私泄露。

Trojan/Android.GBanker.gz（3.70%）通常伪装成正常应用，运行后隐藏图标，诱导用户激活无障碍服务和设备管理器，加载未知子包，窃取短信息、通讯录等隐私信息，还能发送短信至指定号码，导致用户隐私泄露和资费消耗。

三、活跃移动间谍木马

本月间谍木马家族活跃趋势如下图：

Trojan/Android.spymax.d（51.40%）一款间谍软件，运行后隐藏图标，联网私自下载恶意间谍子包，窃取用户地理位置、wifi信息、私自拍照、录像，造成用户隐私泄露。

Trojan/Android.spymax.i（19.75%）是Spymax的一个变种，Spymax是恶名昭著的商业间谍木马，具有强大的隐匿功能，主要通过动态从服务器获取加载恶意代码来执行其恶意行为。

Trojan/Android.SpinOK.a（16.41%）该应用被植入恶意代码，安装后会上传设备指定文件目录下内容、剪贴板内容，可能导致隐私泄露。

Trojan/Android.bmhs.a（12.44%），该家族活跃历史较长，属于老牌间谍木马，危害性高，多伪装政府相关应用，运行后窃取用户短信、手机基本信息、手机号并上传，造成用户隐私泄露。

Trojan/Android.BankerSpy.d本月占比11.59%，样本会伪装成安全防护类软件，运行后拦截用户短信，上传用户短信箱、联系人、手机基本信息、银行相关隐私信息，造成用户隐私泄露。

四、国内受害区域分布情况

移动端攻击活动国内受害区域分布趋势如下图：

国内受害终端主要集中在我国中东部及沿海地区。从受害区域分布趋势来看，排名靠前的省份受害终端量皆出现了不同程度的增长，排名前10的省份环比上升均值为34.57%。广东、河南、山东和江苏等地本月受害终端量大幅上升，其中河南环比上升39.89%居于首位。

关于安天移动安全

武汉安天信息技术有限责任公司（简称安天移动安全）成立于 2010 年，是安天科技集团旗下专注于移动智能用户生态安全防护的科技公司。自主创新的移动反病毒引擎，在 2013 年以全年最高平均检出率荣获 AV-TEST“移动设备最佳防护”奖，实现了亚洲安全厂商在全球顶级安全测评领域重量级奖项零的突破。经过十余年的发展与积累，公司的反病毒引擎产品已与移动终端设备厂商、移动应用开发者、运营商、监管部门等移动设备产业链上下游企业机构伙伴成功合作，为全球超 30 亿移动智能终端设备提供全维度、全生命周期安全护航，已发展成为全球领先的移动互联网安全防护厂商。安天移动安全始终秉承安全普惠使命，通过自主创新国际领先的安全核心技术，与产业链各方共同打造操作系统内生安全的绿色生态链，为新时代用户打造国民级安全产品，在万物互联时代营造更安全和可持续的全场景健康数字体验。

关于安天移动威胁情报团队

安天移动威胁情报团队致力于移动APT活动研究及移动安全攻防对抗技术研究，由一支拥有前沿移动端安全对抗技术、多年境外APT组织实战对抗经验、漏洞分析与挖掘能力的一流安全工程师团队组成。在近些年，成功通过基于安天移动样本大数据的APT特马风控预警运营体系，持续发现包含肚脑虫、利刃鹰、APT37等多个APT组织的移动端攻击活动，并依托该体系建立了一线移动端攻击活动的捕获能力、拓线溯源分析能力。安天移动威胁情报团队未来将仍持续专注于移动安全领域研究，以安全普惠为核心价值观，建设一支召之即来，来之能战，战之必胜的顶尖网络安全团队，并将长久且坚定地维护移动网络世界安全。

阅读原文

跳转微信打开