趨勢科技的安全研究人員發現一款新型移動惡意軟件“GnatSpy”，據分析推測該惡意軟件與臭名昭著的威脅組織APT-C-23（“雙尾蝎”）有關。研究人員認為，GnatSpy是“雙尾蝎”常用的VAMP惡意軟件的變種，且比VAMP更加危險。

2017年3月，360威脅情報中心發布報告指出，2016 年 5 月至2017年3月，“雙尾蝎”組織瞄準中東地區，對巴勒斯坦教育機構、軍事機構等重要領域展開了有組織、有計劃、有針對性的長時間不間斷攻擊。攻擊平臺主要包括 Windows 與 Android，研究人員當時稱一共捕獲了24個 Android 樣本，19 個Windows 樣本，涉及29個C&C。

此后，Palo Alto Networks和ClearSky兩家公司發現一個移動惡意軟件VAMP，該軟件以敏感的數據（包括聯系人、通話記錄、圖片、短信等）為目標。2017年10月，移動安全公司Lookout 發現VAMP的一個新變種“FrozenCell”。最新的變種GnatSpy的出現說明“雙尾蝎”組織仍然活躍，并在持續改進工具。

趨勢科技發布博文表示，VAMP的某些C&C域名在GnatSpy中被重用，GnatSpy的功能與VAMP的早期版本類似。但是GnatSpy的結構與先前的變種截然不同，這意味著該組織的手段越來越復雜老練。

研究人員指出，GnatSpy添加了更多接收端和服務，賦予這款惡意軟件更多功能和模塊化設計，這表明GnatSpy的開發者知識面更廣，且軟件設計經驗豐富。新變種還大大增加了對Java注解和反射方法的運用，以規避檢測。

先前的VAMP版本在代碼中明文羅列了使用的C&C服務器，但GnatSpy對服務器進行了編碼，以此避免使用函數調用來獲得實際的C&C URL。研究人員指出，GnatSpy中硬編的URL并不指向最終的C&C服務器。訪問此URL只會返回實際C&C服務器的位置。

先前的VAMP版本針對的是華為和小米設備上的系統管理器，而GnatSpy包含幾個針對較新安卓版本的函數調用，例如“安卓6.0系統——棉花糖”（Marshmallow）和“安卓7.0系統——牛軋糖”（Nougat）。GnatSpy還能從被感染的設備獲取更多信息，包括SIM卡狀態、電池、內存和存儲使用情況。

研究人員表示，目前尚不清楚該組織如何將惡意文件傳播給毫無防備的受害者。一種猜測是，“雙尾蝎”組織目前正將這些文件偽裝成更新直接發送給用戶，使目標下載并在安裝在自己的設備上。

研究人員指出，該組織使用“安卓設置”或“Facebook更新”這類的名字讓用戶誤以為這些文件是合法的。研究人員稱并未發現大量的此類應用，這說該組織的攻擊限于具有針對性的特定組織或個人。

研究人員還補充稱，即使威脅攻擊者的活動被曝光，他們也可能不會放手，“雙尾蝎”便是如此。GnatSpy背后的威脅組織不僅在繼續執行非法活動，還在不斷提高惡意軟件的技術能力。