以色列Android用户成为“RedAlert – Rocket Alerts”应用程序恶意版本的目标，该应用程序虽然提供了承诺的功能，但在后台充当间谍软件。RedAlert – Rocket Alerts是一款合法的开源应用程序，以色列公民使用它来接收针对该国的来袭火箭弹的通知。

该应用程序非常受欢迎，在Google Play上的下载量超过一百万次。自从哈马斯恐怖分子上周在以色列南部发动袭击，使用数千枚火箭弹以来，随着人们寻求有关其地区即将发生的空袭的及时警告，对该应用程序的兴趣激增。

据Cloudflare称，动机和来源不明的黑客正在利用人们对该应用程序日益浓厚的兴趣以及对攻击的恐惧来分发安装间谍软件的假版本。该恶意版本是从“redalerts[.]me”网站分发的，该网站创建于2023年10月12日，包含两个用于下载 iOS和 Android平台应用程序的按钮。

iOS下载会将用户重定向到 Apple App Store上的合法项目页面，但Android按钮会直接下载要安装在设备上的APK文件。Cloudflare发现该应用程序向受害者请求额外权限。启动后，该应用程序会启动一个后台服务，该服务会滥用这些权限来收集数据，在CBC模式下使用AES对其进行加密，然后将其上传到硬编码的IP地址。

间谍软件警报

下载的APK使用 真正的RedAlert应用程序的合法代码，因此它包含所有常规功能，并显示为合法的火箭警报工具。

然而，Cloudflare 发现该应用程序向受害者请求额外权限，包括访问用户的联系人、号码、短信内容、已安装软件列表、通话记录、电话 IMEI、登录的电子邮件和应用程序帐户等。

启动后，该应用程序会启动一个后台服务，该服务会滥用这些权限来收集数据，在 CBC 模式下使用 AES 对其进行加密，然后将其上传到硬编码的 IP 地址。

从受感染设备收集数据的代码 (Cloudflare)

文章原文链接:https://www.anquanke.com/post/id/290798