外媒1月19日消息，電子前沿基金會(huì)Frontier Foundation和安全公司Lookout聯(lián)合調(diào)查發(fā)現(xiàn)與黎巴嫩總安全局有關(guān)的監(jiān)控間諜活動(dòng)Dark Caracal APT從世界各地的Android手機(jī)和Windows PC中竊取大量數(shù)據(jù)，并且最近有黑客組織將Dark Caracal間諜軟件平臺(tái)出售給某些國(guó)家用來(lái)監(jiān)聽。據(jù)悉，該間諜活動(dòng)通過(guò)制造大量虛假Android應(yīng)用程序并利用社交工程（如釣魚郵件或虛假的社交網(wǎng)絡(luò)信息）來(lái)傳播含有木馬的惡意軟件，過(guò)去的六年里已牽涉到來(lái)自 21 個(gè)國(guó)家的記者、軍事人員、公司和其他目標(biāo)的敏感信息（短信、通話記錄、檔案等）。

Lookout 發(fā)表的一份報(bào)告中詳細(xì)分析了 Dark Caracal：

Dark Caracal 實(shí)施的攻擊鏈主要依靠社交工程，比如黑客在虛假應(yīng)用程序（如 Signal 和 WhatsApp ）中包含定制的 Android 惡意軟件，從而達(dá)到向受害用戶發(fā)送惡意信息的目的。

Dark Caracal 影響范圍

Lookout 透露，其研究人員發(fā)現(xiàn)了一個(gè)名為 Pallas 的定制型惡意軟件，可能是 Dark Caracal 間諜活動(dòng)工具包中的一個(gè)重要組件。Pallas被用來(lái)劫持目標(biāo)智能手機(jī)，并通過(guò)出租給政府的Dark Caracal平臺(tái)進(jìn)行分發(fā)和控制。目前獲取Pallas的主要方法是從非官方軟件應(yīng)用商店安裝受感染的應(yīng)用程序，比如WhatsApp和Signal ripoffs 。不過(guò)Pallas并沒(méi)有利用 ” 零日” 來(lái)接管設(shè)備，而是依靠欺騙用戶安裝惡意應(yīng)用程序，授予惡意軟件各種權(quán)限。一旦 Pallas 到位，就可以秘密地從手機(jī)的麥克風(fēng)中錄制音頻、 揭露 gizmo 的位置給監(jiān)視者、并將手機(jī)所包含的所有數(shù)據(jù)泄露給黑客。

此外，Dark Caracal平臺(tái)還提供了另一種監(jiān)視工具 ——FinFisher樣本，它被出售給政府，用于監(jiān)視公民。而在桌面端，Dark Caracal 提供了一個(gè) delphil 編碼的 Bandook 木馬，該木馬之前在 Manul 操作系統(tǒng)中已被識(shí)別，可以有效地征用 Windows 系統(tǒng)。

Lookout 表示目前正在試圖尋找 Dark Caracal 背后的黑客組織，并預(yù)計(jì)今年夏天調(diào)查會(huì)有進(jìn)展。