趋势科技的安全研究人员发现一款新型移动恶意软件“GnatSpy”，据分析推测该恶意软件与臭名昭著的威胁组织APT-C-23（“双尾蝎”）有关。研究人员认为，GnatSpy是“双尾蝎”常用的VAMP恶意软件的变种，且比VAMP更加危险。

　　APT-C-23及其恶意工具VAMP

　　2017年3月，360威胁情报中心发布报告指出，2016 年 5 月至2017年3月，“双尾蝎”组织瞄准中东地区，对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。攻击平台主要包括 Windows 与 Android，研究人员当时称一共捕获了24个 Android 样本，19 个Windows 样本，涉及29个C&C。

　　“双尾蝎”组织携GnatSpy瞄准手机敏感数据

　　此后，Palo Alto Networks和ClearSky两家公司发现一个移动恶意软件VAMP，CISSP培训该软件以敏感的数据（包括联系人、通话记录、图片、短信等）为目标。2017年10月，移动安全公司Lookout 发现VAMP的一个新变种“FrozenCell”。最新的变种GnatSpy的出现说明“双尾蝎”组织仍然活跃，并在持续改进工具。

　　GnatSpy比VAMP更胜一筹

　　趋势科技发布博文表示，VAMP的某些C&C域名在GnatSpy中被重用，GnatSpy的功能与VAMP的早期版本类似。但是GnatSpy的结构与先前的变种截然不同，这意味着该组织的手段越来越复杂老练。

　　研究人员指出，GnatSpy添加了更多接收端和服务，赋予这款恶意软件更多功能和模块化设计，这表明GnatSpy的开发者知识面更广，且软件设计经验丰富。新变种还大大增加了对Java注解和反射方法的运用，以规避检测。

　　先前的VAMP版本在代码中明文罗列了使用的C&C服务器，但GnatSpy对服务器进行了编码，CISSP培训以此避免使用函数调用来获得实际的C&C URL。研究人员指出，GnatSpy中硬编的URL并不指向最终的C&C服务器。访问此URL只会返回实际C&C服务器的位置。

　　GnatSpy针对安卓较新版本

　　先前的VAMP版本针对的是华为和小米设备上的系统管理器，而GnatSpy包含几个针对较新安卓版本的函数调用，例如“安卓6.0系统——棉花糖”（Marshmallow）和“安卓7.0系统——牛轧糖”（Nougat）。GnatSpy还能从被感染的设备获取更多信息，CISSP培训包括SIM卡状态、电池、内存和存储使用情况。

　　“双尾蝎”组织携GnatSpy瞄准手机敏感数据

　　研究人员表示，目前尚不清楚该组织如何将恶意文件传播给毫无防备的受害者。一种猜测是，“双尾蝎”组织目前正将这些文件伪装成更新直接发送给用户，使目标下载并在安装在自己的设备上。

　　研究人员指出，该组织使用“安卓设置”或“Facebook更新”这类的名字让用户误以为这些文件是合法的。研究人员称并未发现大量的此类应用，这说该组织的攻击限于具有针对性的特定组织或个人。

　　研究人员还补充称，即使威胁攻击者的活动被曝光，他们也可能不会放手，“双尾蝎”便是如此。GnatSpy背后的威胁组织不仅在继续执行非法活动，还在不断提高恶意软件的技术能力。