利用APP应用程序实施网络攻击的暗黑网络

巴基斯坦网络攻击来袭。《今日印度》的一项调查显示，来自巴基斯坦的移动应用程序和开发人员的协调网络一直以印度武装部队和警察的狂热者以及人民党的支持者为目标。

根据Google Play商店的数据，这些开发商声称在英国和澳大利亚开展业务，但《今日印度》调查显示该网络与巴基斯坦紧密关联，并且在伊斯兰堡以外地区正常运转。

当时，敌对国家运行的移动应用程序的数据安全问题已成为政府的头等大事。该网络包含多个应用程序和android应用程序，其中一些已经失效，而其他应用程序仍在Play商店中保持活跃状态。这些开发人员还创建了与巴基斯坦总理伊姆兰·汗和巴基斯坦军队有关的应用程序。

一是存在一个专门针对印度武装部队和执法部门的APP程序开发团队。

Play商店提供了一个名为``Indian Army PhotoSuit Editor 2020-Army Suit Editor''的android应用程序，该应用程序有望为用户提供印度陆军、海军和空军制服的自定义外观。该应用的说明为："如果您从市场上购买这些服装，则可以在这里看到这些衣服的外观。因此，您可以轻松获得与穿衣服或穿着军装有关的不同想法。"

这款应用已经从Play Store下载了超过1万次，可以使用用户的摄像头、存储空间和网络。这款应用还为用户提供了"阿比纳丹风格"的八字胡造型。

该应用程序的最高评价来自可疑帐户，这些帐户使用图片和电影明星的名字创建，例如妮可·基德曼（Nicole Kidman）和Winona Ryder。

图1 假冒电影明星名字和头像

它的开发者SnowBerry在其另一个APP应用程序，名为"警察制服照片编辑器-男性警察照片套装"，该应用程序显着地标榜了印度警方人员捐赠的卡其色制服。

图2 警察制服照片编辑器的应用程序

该应用可以访问用户的网络、相机、电话薄和USB存储设备。此外，SnowBerry还创建了其他一些应用程序，例如" Talking PM Imran Khan PTI Kaptaan Talking"，" Funny Urdu WAStickers 2020-Free Urdu Stickers"，" Muslim Globe-Prayer Times，Quran，Azan＆Qibla"和" Urdu Poster Master" 2020-Urdu Poster Maker'等。 这些应用程序可在Google Play商店平台上找到和下载。

图3 SnowBerry开发应用程序

二是开发者明显隐匿相关信息深藏于一个阴暗网络。

根据Google Play商店数据，应用程序开发者SnowBerry声称其地址位于英国伯明翰，但未提供完整地址。载有隐私政策的网页实质上是一页博客。

《今日印度》追踪了SnowBerry隐私权政策页面和博客页面上提到的两个电子邮件地址，该博客页面在其Google Play商店个人资料中被描述为SnowBerry的网页。这导致研究人员至少有四个与SnowBerry相关的身份。 这些开发人员及其应用程序大多模仿其他流行的开发人员，应用程序和游戏的身份，以至于无法被发现。

调查人员将FioreAppsIncapp应用程序，RedBeriApps，Uabrave和InstaBerry以及常见的电子邮件地址和主页链接在一起。其中，FioreAppsInc似乎已经倒闭了。但是，调查人员发现有证据表明它曾经创建过应用程序，后来又从Google Play商店中删除了它们。

图4 FioreAppInc开发的已从应用商店删除的APPs

图5 使用BJP符号和莫迪总理图像的海报制作APP

由RedBeriApps和Uabrave创建的几个应用程序仍可在android平台上使用。Uabrave声称在澳大利亚布里斯班运营，并提供了许多android应用程序，其中包括一个允许用户使用印度现任总理莫迪（Narendra Modi）的图片和印度人民党（BJP）符号创建自定义BJP海报的应用程序。

图6 SnowBerry在应用商店所留的联系地址

图7 Uabrave所留的联系信息

为了推广其VPN应用程序之一，SnowBerry上传了该应用程序的YouTube视频。

图8 SnowBerry推荐的VPN使用教程视频

《今日印度》调查发现，上传视频的YouTube帐户使用的是英国板球运动员Anya Shrubsole的虚假身份。

图9 YouTube页面上所留的虚假信息

这个YouTube帐户已提供其在巴基斯坦的位置。 此外，研究人员的调查是根据这些开发者的隐私权政策中提供的电子邮件地址进行的，这些电子邮件使研究人员进入了巴基斯坦的技术公司InstaBerry Technologies。

InstaBerry管理员在Play商店上发布了一个Blogspot页面，该页面与InstaBerry Technologies的Facebook页面高度匹配。

图10 InstaBerry在Facebook上的信息和某个博客页面上的信息比对

研究人员将Facebook页面的透明度数据与其履历进行了匹配，根据该数据，Facebook页面有三名管理员，全部来自巴基斯坦。研究人员还在Facebook页面上找到了带有巴基斯坦国家代码的电话号码。页面上提到的电话号码是伊斯兰堡的座机号码。

图11 Facebook的个人信息与透明数据指向巴基斯坦

三是经初步逆向分析高度怀疑所开发APP应用程序暗藏恶意代码。

《今日印度》与总部位于德里的网络安全公司Voyager Infosec合作，对该网络进行了进一步分析，并发现了可疑行为的证据。

Voyager Infosec的总监Jiten Jain对应用程序进行了逆向工程，以阐明其类似于恶意软件的行为，他说："在逆向工程过程中，研究人员打开了整个应用程序，并以重新创建反编译的源代码的方式进行了分析。研究人员已经研究了如何以及何时利用授予这些应用程序的权限以及正在使用哪些服务器。"

还观察到这些应用程序中的数据被发送到某服务器，这些服务器之前已被各种独立运营商列入黑名单。当被问及要评估威胁的程度时，Jain解释说："这些都是监听应用程序，它与威胁的大小无关；一旦他们从您的设备获得许可，就可以窃取各种数据。威胁完全取决于威胁行为者控制网络的意图。"

贾恩（Jain）呼吁立即进行监管干预，并说："如果存在与印度武装部队有任何联系的应用程序，则应对其进行审查，并迫使其获得有关当局的许可"。

后记

随着泛在物联网的普及应用，移动互联网终端应用的安全风险与日俱增。报告显示我国境内应用商店数量已超过 200 家，上架应用近500万款，下载总量超过万亿次。与此同时，移动APP强制授权、过度索权、超范围收集个人信息的现象大量存在。目前安装量较大的APP应用平均会申请25项权限，其中申请了与业务无关的拨打电话权限的APP量占比超过30%；每款应用平均收集20项个人信息和设备信息，包括社交、出行、招聘、办公、影音等；大量APP存在探测其他APP或读写用户设备文件等异常行为。移动终端已成为网络攻击者渗透网络、控制物联网设备的重要入口点。因此，建议用户提高安全防范意识，加强移动终端网络安全防护措施。

一是不要下载安装来路不明的APP应用程序，尽量到可信的口碑好的应用商店下载应用程序；

二是避免随意对APP程序开放不相关的权限，落实最小化权限原则；

三是安装杀毒软件，及时清理存在威胁的APP应用；

四是避免使用弱口令或多个应用程序使用相同的口令，落实多因素身份认证机制；

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!