7月22日，在一項(xiàng)敘利亞電子政務(wù)門戶網(wǎng)站中發(fā)現(xiàn)安卓惡意軟件部署行為,，安全研究人員發(fā)現(xiàn)該活動(dòng)背后是一個(gè)名為StrongPity的APT（高級(jí)持續(xù)威脅）組織,，這表明潛在受害者將受到升級(jí)武器庫的危害。

　　7月21日發(fā)布的一篇技術(shù)文章中表示：

　　“據(jù)我們所知,，這是該組織首次被發(fā)現(xiàn)使用惡意安卓應(yīng)用程序開展攻擊活動(dòng),。”

　　這次的活動(dòng)操作和該組織過往的操作沒有什么不同,，攻擊者將正常的應(yīng)用程序重新打包成木馬變體以推動(dòng)進(jìn)一步的攻擊,。

　　敘利亞電子政務(wù)門戶被利用

　　該惡意軟件偽裝成敘利亞電子政務(wù)安卓應(yīng)用程序，據(jù)說是在2021年5月創(chuàng)建的,，該應(yīng)用程序的清單文件（“AndroidManifest.xml ”）被修改為明確請(qǐng)求手機(jī)的額外權(quán)限,，包括閱讀能力聯(lián)系人、寫入外部存儲(chǔ),、保持設(shè)備喚醒,、訪問有關(guān)蜂窩和Wi-Fi網(wǎng)絡(luò)的信息、精確位置,，甚至允許應(yīng)用程序在系統(tǒng)啟動(dòng)后立即啟動(dòng),。

　　此外，惡意應(yīng)用程序意圖長時(shí)間在后臺(tái)執(zhí)行運(yùn)行任務(wù),，并觸發(fā)對(duì)遠(yuǎn)程命令和控制 （C2） 服務(wù)器的請(qǐng)求,，該服務(wù)器利用包含設(shè)置文件的加密負(fù)載進(jìn)行響應(yīng)，該文件允許“惡意軟件”根據(jù)配置更改其行為,，并更新其C2服務(wù)器地址,。

　　最后一點(diǎn)也是最重要的一點(diǎn)，“高度模塊化”的植入程序能夠清除存儲(chǔ)在受感染設(shè)備上的數(shù)據(jù),，例如聯(lián)系人,、Word和Excel文檔,、PDF、圖像,、安全密鑰以及使用Dagesh Pro Word Processor （,。DGS） 保存的文件） 等，所有這些都被傳輸回C2服務(wù)器,。

　　盡管目前尚沒有關(guān)于StrongPity在攻擊中使用惡意安卓應(yīng)用程序的公開報(bào)道,，但趨勢科技認(rèn)為攻擊者能成功開展行動(dòng)的原因在于使用 C2 服務(wù)器，該服務(wù)器曾用于與黑客組織有關(guān)的入侵,，臭名昭著的則是2019年7月AT&T的Alien實(shí)驗(yàn)室記錄的一場惡意軟件活動(dòng)，利用受感染版本的WinBox路由器管理軟件,、WinRAR和其他受信任的實(shí)用程序來獲取目標(biāo)數(shù)據(jù),。

　　研究人員說：

　　“我們認(rèn)為，攻擊者正在探索多種向潛在受害者提供應(yīng)用程序的方式,，例如使用虛假應(yīng)用程序和使用受感染的網(wǎng)站作為誘餌開展水坑攻擊,，誘騙用戶安裝惡意應(yīng)用程序?！?/p>

　　此外,，他們還補(bǔ)充道：

　　“通常，這些網(wǎng)站會(huì)要求其用戶直接將應(yīng)用程序下載到他們的設(shè)備上,。為此,，這些用戶需要同意設(shè)備安裝來自‘未知來源’的應(yīng)用程序。這繞過了安卓生態(tài)系統(tǒng)的‘信任鏈’,，這也使攻擊者更容易傳播其他的惡意組件,。”

　　StrongPity組織

　　StrongPity,，微軟將其命名為Promethium,，自2012年以來一直活躍，主要攻擊目標(biāo)為土耳其和敘利亞用戶,。2020年6月,，該組織黑客參與了一波利用水坑攻擊和篡改安裝程序的活動(dòng)，這些活動(dòng)濫用流行的合法應(yīng)用程序,，用惡意軟件感染目標(biāo)設(shè)備,。

　　思科Talos去年透露：“Promethium多年來活動(dòng)不斷，且已經(jīng)多次曝光,，但背后的攻擊者依然活躍,。”