研究人员发现了一场移动监控运动，在过去11个月里，该运动使用了30多个恶意Android应用程序来监视目标。最近的两个样本正在利用冠状病毒，将现成的监控软件隐藏在应用程序中，这些应用程序承诺提供有关正在流行的冠状病毒的信息。

 

其中一个名为“corona live 1.1”的应用程序是“corona live”的trojanized版本，这是一个合法的应用程序，它提供了一个接口，可以访问约翰霍普金斯大学(Johns Hopkins University)追踪器上的数据。在这个被欺骗的应用程序中，隐藏着一个SpyMax的样本。SpyMax是一款商业监控软件，可以让攻击者实时控制受感染的设备。在同一活动中使用的第二款应用程序名为“Crona”。这项活动最迟从2019年4月就开始了，是由移动安全提供商Lookout的研究人员发现的。

 

Lookout研究员克里斯汀•德尔•罗索在周三发表的一篇文章中写道:“这种监控活动表明，在危机时刻，我们与生俱来的获取信息的需求可能会被用于恶意目的。”“此外，沐鸣开户测速现货间谍软件套件的商业化，使得这些恶意行为者可以相当容易地展开这些定制活动，其速度几乎与COVID-19这样的危机爆发的速度一样快。”

 

Lookout的研究人员在分析“corona live 1.1”时发现了正在进行的活动。虽然这款应用程序似乎还处于开发的早期阶段，但它有一个硬编码的控制服务器地址。在检查控制服务器域时，研究人员发现它被29个左右的其他应用程序使用，所有这些应用程序也都使用商业上可用的监视软件来监视终端用户。

 

最新的样本是在周二摄入的，在这篇文章发布在Ars上的时候，命令和控制服务器似乎还在线。Lookout表示，这些应用程序从未在谷歌游戏市场上出现过。Lookout尚未确定这些应用程序是如何发布的，以及有多少设备被感染。

 

DIY间谍

 

虽然大多数应用程序都是用相当普通的名字打包的，但其中一个——“利比亚移动查找”——暗示该活动可能针对的是这个北非国家的人。之前，控制服务器被解析为利比亚电信技术公司(一家消费者ISP)的IP地址。攻击者通过使用No-IP来托管服务器，No-IP是一种服务，它使使用者或非常小的操作能够轻松地将Internet域链接到频繁变化的IP地址。

 

德尔罗索写道:“行动的负责人或组织可能在利比亚使用他们自己的基础设施来运行C2，或者利用他们在那里妥协的基础设施。”“由于这些应用程序也专门针对利比亚用户，这似乎是一个针对地区的监视努力。”

 

Lookout并不是唯一一家追踪利用冠状病毒威胁的恶意Android软件的安全公司。周三，沐鸣开户测速杀毒软件提供商Avast宣布将推出apklab。io，一个资源，允许研究人员贡献和检查Android恶意软件与主题有关的大流行。该网站目前跟踪了450多个apk。上周，域工具的研究人员披露了另一个恶意Android应用程序的存在，该程序也声称提供与病毒相关的地图。

 

SpyMax似乎就是由这群人开发的，他们还开发了另一款名为SpyNote的商业监控软件。运动中使用的其他监视软件包括SonicSpy、SandroRat和MobiHok。SpyNote和MobiHok都收取相对较低的费用，并提供用户支持。结合一个简单的检查过程，这些应用程序使得即使是新手也可以很容易地获取、定制和管理他们自己的监视工具。

 

显示SpyMax管理控制台的屏幕截图。它允许攻击者访问受感染设备上的各种资源。

 

注意

 

Lookout没有证据表明，为某个国家工作的黑客正在操作这项活动。然而，该安全公司并没有排除这种可能性，因为以前曾看到过民族国家使用开箱即用的工具或来自开源和商业来源的恶意软件。再一次，沐鸣开户测速民族国家经常开发他们自己的工具。最重要的是，我们无法确定这场运动背后是什么样的组织。

 

最近，以冠状病毒为主题的木马加入到这场正在进行的攻击中，凸显出攻击者利用重大新闻事件的速度有多快。读者们再次被提醒，要对与大流行有关的应用程序、地图或其他信息保持高度怀疑，特别是那些可用于Android的应用程序来自第三方市场。相反，人们应该从可信的来源寻求信息，如来自美国疾病控制和预防中心的本页或上面链接的约翰斯·霍普金斯资源。