“SarangTrap” 恶意活动伪装社交应用窃取用户数据

移动安全研究人员发现一场大规模恶意活动，攻击者通过伪造的约会和社交应用窃取用户敏感数据。该行动被命名为“SarangTrap”，同时针对Android和iOS平台，利用超过250个恶意应用和80余个钓鱼域名实施攻击，韩国用户为主要目标。

安全公司Zimperium本周三发布的报告指出，该活动采用情感操纵策略：通过虚假用户资料、专属“邀请码”及仿真的应用界面诱骗受害者。这些应用伪装成合法服务，实则专门用于窃取用户联系人、私人照片、短信内容及设备标识符等数据。

攻击流程：

用户安装应用后，界面显示正常但会索要不必要的权限。输入攻击者提供的邀请码后，隐藏的间谍程序即被激活。获取权限后，应用将静默上传敏感数据至攻击者控制的服务器。

策略升级与跨平台特性

Zimperium实验室的最新分析显示，恶意软件策略持续演变：

• Android端：新样本已从清单文件中移除短信权限，但保留窃取短信的代码，表明攻击者正尝试规避安全扫描。
• iOS端：改用恶意移动配置描述文件替代传统应用安装。用户授权后，攻击者无需应用即可获取联系人、照片及设备信息。

攻击基础设施

攻击者注册了88个独立域名，其中70余个用于分发恶意软件。至少25个域名被谷歌等搜索引擎收录，并通过“约会”“文件共享”等常见关键词提升排名，使钓鱼页面更具欺骗性。目前累计发现250余个Android恶意样本，部分样本甚至完全省略关键权限以躲避检测，但仍持续窃取数据。

技术与社会工程的结合

该活动将技术手段与社会工程深度融合。典型案例中，一名经历分手的男性用户被虚假约会资料诱导，通过钓鱼链接下载应用并输入邀请码后设备遭入侵。攻击者利用窃取的私密视频对其进行敲诈，威胁向家人公开内容。

Zimperium建议用户：警惕索要邀请码或非常规权限的应用，避免使用第三方应用商店，并定期检查设备配置描述文件与安全设置。

SarangTrap行动目前仍处于活跃进化状态，使得用户保持警惕变得尤为重要。

消息来源：infosecurity-magazine；

本文由 HackerNews.cc 翻译整理，封面来源于网络；