在网络安全领域，新的威胁不断涌现，而最近，Arid Viper组织针对埃及和巴勒斯坦的安卓用户展开了一场针对性的恶意软件攻击。来自ESET的网络安全研究人员揭示了这场名为“AridSpy”的木马病毒攻击，使得用户的私人数据面临极大的风险，更进一步揭示了现代网络攻击的复杂性与隐蔽性。

Arid Viper，又称APT-C-23，是一个从2013年就开始在中东地区活动的网络间谍组织。他们的攻击目标主要集中在这些国家，擅长开发针对Android、iOS和Windows平台的恶意软件。这一组织在过去曾发布过多种恶意软件，其中包括侵入以色列的各种变体。2020年12月，他们再次出击，推出了名为PyMICROPSIA的恶意软件，目标依然是以色列用户。本次最新的攻击活动，ESET的研究员Lukas Stefanko表示，已经发现了大约五个针对性的间谍行动。

当前，AridViper通过伪装成消息应用程序、工作招聘和巴勒斯坦民事登记等各种合理的软件分发恶意应用，包括NortirChat、LapizaChat、ReblyChat，以及阿拉伯语的تطبيق المشغل（工作机会应用）和السجل المدني الفلسطيني（巴勒斯坦民事登记应用），以传播AridSpy木马。更深层次分析发现，这些恶意应用并非通过Google Play商店进行分发，而是通过专门的第三方网站发布，这些网站的发现主要依靠遥测、VirusTotal和FOFA网络搜索引擎的支持。

通过ESET的遥测数据，检测到了六个来源于埃及和巴勒斯坦的AridSpy实例，其中大多数与恶意的巴勒斯坦民事登记应用登记有关。在埃及，发现了一个同样的初级载荷，只是更换了包名，而另一例初步载荷则利用了与LapizaChat和工作机会相关的样本相同的命令和控制服务器。ESET怀疑AridSpy木马是此次攻击活动的核心，因为该组织一直专注于针对巴勒斯坦和埃及的组织。与此同时，myScript.js这一之前与Arid Viper有关的恶意JavaScript文件在此次攻击中也被侦测到，这一代码也曾被360 Beacon Labs和FOFA在2022年针对卡塔尔世界杯的一次攻击中使用。

AridSpy木马被认为是极具危险性的恶意软件，能够记录用户在应用程序中可见和可编辑的文本，尤其是针对Facebook Messenger和WhatsApp的通信。这种恶意软件利用内置的无障碍服务记录可见文本并上传至命令和控制服务器，进而让用户面临包括身份盗窃、金融欺诈和勒索等风险。

在这样的网络攻防背景下，用户应保持警惕，尽量避免从不受信任的来源下载应用程序，建议用户选择通过Google Play商店等官方应用商店进行下载，始终查看应用的评论和评分，同时关注应用请求的权限，以确保安全的网络体验。

红色加粗信息提示：近年来，网络攻击呈现出愈演愈烈之势，利用用户的不小心和社会工程学的手段进行攻击的案例不断增多。 正因为如此，保护个人的隐私、确保设备安全显得尤为重要。

与此同时，另一个恶意活动正悄然兴起。最近的研究表明，AppLite木马通过伪装成假招聘邮件对安卓用户展开攻击。黑客通过精心制作的电子邮件，伪装成知名公司的HR，诱导求职者下载嵌入木马的应用。AppLite木马进一步突显了手机诈骗（mishing）在网络犯罪中的严重性。

AppLite这一新型银行木马已被发现在针对安卓设备的过程中，潜伏在邮件中伪装成合法的职工招聘请求，拥有盗取银行凭证、加密钱包和敏感信息等多种能力。Zimperium的研究报告指出，这场运用高度复杂的钓鱼攻击针对的正是正在寻找工作机会的用户。其攻击手法通过发送伪装成著名公司的招聘邮件，吸引不知情的求职者点击。

AppLite的攻击流程可谓精妙，用户在收到伪装的招聘邮件后，实际上被引导到一个假招聘页面，下载似乎无害的应用，但实际上该应用则充当了木马的引导者。安装该恶意应用后，AppLite木马会悄无声息地在后台运行，从而获取广泛的权限，特别是无障碍服务，以完全控制用户设备。

分析显示，AppLite的功能极其强大，可以拦截SMS消息、记录按键、截屏，甚至控制设备的摄像头和麦克风。更为棘手的是，它还能截取二次验证（2FA）代码，窃取来自银行和加密货币应用的敏感信息。对此类网络安全威胁，反制措施显得尤为重要，用户在下载应用时务必要留心，避免点击不明链接，保证设备操作系统和安全软件保持最新，并启用强密码和双重身份验证。

最后，在这样一个“网络无边界”的时代，用户的每一次点击都可能直接影响到他们的财产安全和个人隐私，而我们也迫切需要加强对网络安全的重视和提升对网络诈骗的防范意识，以保障我们在数字世界中的安全。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)