针对性攻击

一个合法的应用程序，它可以帮助用户访问被删除或被阻止的网站，但是，它被与 Android 间谍软件秘密捆绑在一起，引诱人们在第三方市场上下载。

该应用程序称为 Psiphon，打包为 com.psiphon3，已经从官方 Google Play 商店被下载了超过5000万次。但是通过非官方渠道获得该应用程序的用户可能已经下载到了一个被破坏的版本，使用 Triout 感染的版本，Triout 是一个引入了广泛监控功能的恶意软件框架。

去年8月， Bitdefender 的研究人员报告了其最初发现的 Triout，当时发现它与成人内容应用捆绑在一起。

但 Bitdefender 在2月7日的博客文章中披露的这一最新计划反而是针对那些反互联网审查的 Android 设备所有者。这可能包括被限制信息自由的压迫政权管理的国家的用户。

从用户的角度来看，恶意应用程序的功能与正版完全一样，博客文章作者和高级电子威胁分析师 Liviu Arsene 报道。但是在后台暗地里，间谍软件正在录制电话、记录传入的短信、录制视频、拍照和收集 GPS 坐标。

Triout 然后将这些内容泄露给攻击者的命令和控制服务器，其IP地址被 Bitdefender 跟踪到法国折扣零售网站 magicdeal.fr ，这可能是合法的，也可能是不合法的。

恶意行为者还合并了三个广告软件组件，为自己创造了额外的收入，博客文章仍在继续。

根据 Bitdefender 的说法，恶意的 Psiphon 应用程序于去年10月11日被检测到，但是从2018年5月2日到2018年12月7日有效。在整个这段时间内，研究人员只发现了7个受影响的设备; 但是，Bitdefender 遥测之外的其他用户可能也会受到影响。

⚠️ “值得考虑的是，受害者和受感染设备数量较少，再加上它具有强大的间谍软件功能这一事实，可能表明 Triout 是主要用于针对少数人的高度针对性的间谍活动“。

像 Triout 这样的恶意软件将无处不在的 Android 设备变成了“完美的间谍”，Bitdefender 警告说，发现新样本和极受欢迎的应用程序的受损版本可能预示着在不久的将来发生更多此类事件。

A legitimate application that’s supposed to help users access censored or blocked websites was secretly bundled with Android spyware and made available for download on third-party marketplaces

觀點2