DDoS 应用程序旨在攻击受俄罗斯感染的乌克兰活动家的 Android 手机

谷歌证实，亲乌克兰组织认为他们正在使用新的 DDoS 应用程序反击俄罗斯，但事实证明，该应用程序本身就是感染了他们设备的恶意软件。

谷歌威胁分析小组 (TAG) 发布了其关于高级持续威胁 (APT) 小组 Turla（又名毒熊、氪、Uroburos 和 Waterbug）针对乌克兰目标的活动的调查结果。

该 APT 组织隶属于俄罗斯联邦安全局，据 TAG 安全工程师比利·伦纳德（Billy Leonard）称，它正在部署伪装成DDoS 攻击工具的 Android 恶意软件。

值得注意的是，Turla 与2017 年 6 月通过美国流行歌手和舞者布兰妮斯皮尔斯的 Instagram 帖子控制恶意软件的组织相同。

被假 DDoS 工具困住的乌克兰人

根据 Google Tag 的报告，Turla 的虚假 DDoS 应用程序托管在被标识为 cyberazovcom 的乌克兰亚速团（该国极右翼的库存单位）的欺骗版本上。

Leonard 解释说，这是他们第一次看到 Turla 分发 Android 恶意软件。假冒应用程序不是通过 Google Play 商店交付的，而是在攻击者控制的欺骗域上交付的。他们还使用第三方消息服务来推广该域。

然而，据 Lab52 称，这并不是 Turla APT 组织第一次被发现传播 Android 恶意软件。该公司在 2022 年 4 月发布的报告中表示，Turla 组织一直在分发能够跟踪 GPS 位置并监视受害者的 Android 恶意软件。

目前，Turla 专注于针对亲乌克兰的激进分子，主要是那些自愿加入 IT 军队以对俄罗斯 IT 基础设施发起 DDoS 攻击的人。

Tusla黑客控制的假冒网站截图，伪装成DDoS应用传播恶意Android应用（图片：谷歌的TAG）

诈骗详情

根据 Google TAG 的博客文章，恶意 Cyber​​ Azov 应用程序正在亲乌克兰活动家和组织中分发，以快速通过其智能手机对俄罗斯网站发起 DDoS 攻击。

“该应用程序以对一组俄罗斯网站执行拒绝服务 (DoS) 攻击为幌子进行分发。但是，‘DoS’仅包含对目标网站的单个 GET 请求，不足以发挥作用。”

比利·伦纳德 – Google TAG

最终的恶意载荷尚不清楚，Leonard 指出安装次数也相对较低。该假冒应用程序于 2022 年 3 月被发现，此后 TAG 安全研究人员警告乌克兰的活动在从未经验证的平台下载 DDoS 工具时要保持谨慎。

总之，要非常小心你在网上信任谁。俄罗斯黑客不仅在开发和恶意软件方面非常老练，而且在针对受害者的社会工程方面也非常老练。