近期发现名为“SarangTrap”的大规模恶意活动，攻击者通过伪造的约会和社交应用，同时针对Android和iOS平台，大规模窃取用户敏感数据。该活动利用超过250个恶意应用和80余个钓鱼域名，以韩国用户为主要目标。攻击者采用情感操纵策略，通过虚假用户资料和仿真应用界面诱骗用户，一旦用户安装应用并提供所谓的“邀请码”，隐藏的间谍程序便会被激活，静默上传联系人、照片、短信和设备信息等敏感数据。Android端恶意软件正规避权限检测，iOS端则利用恶意配置描述文件进行攻击。Zimperium安全公司建议用户警惕索要邀请码或非常规权限的应用，避免使用第三方应用商店，并定期检查设备安全设置。

🎯 **情感操纵与社交工程相结合**：名为“SarangTrap”的恶意活动主要通过伪装成约会和社交应用，利用虚假的用户资料、专属“邀请码”和逼真的应用界面，诱骗用户下载并使用。攻击者通过情感连接和信任建立，促使受害者在不知情的情况下授予应用不必要的权限，从而激活隐藏的间谍程序。

📊 **跨平台攻击与规避检测**：该活动同时针对Android和iOS平台，展现了其广泛的攻击范围。在Android端，攻击者不断演进技术以规避安全扫描，例如从清单文件中移除短信权限但保留窃取短信的代码。在iOS端，攻击者则转向使用恶意移动配置描述文件，无需通过应用商店即可获取用户的联系人、照片和设备信息。

🌐 **庞大的攻击基础设施**：攻击者建立了庞大的攻击网络，注册了88个独立域名，其中大部分用于分发恶意软件。值得注意的是，其中至少25个域名被主流搜索引擎收录，并通过“约会”、“文件共享”等常见关键词优化排名，大大增加了钓鱼页面的欺骗性和触达范围，使得用户更容易上钩。

💰 **数据窃取与敲诈勒索**：一旦用户设备被入侵，应用会静默上传包括联系人、私人照片、短信内容以及设备标识符在内的敏感数据至攻击者控制的服务器。有典型案例显示，攻击者利用窃取的私密视频对用户进行敲诈，威胁公开其不愿被家人知晓的内容，显示了该活动的高隐蔽性和严重危害性。

HackerNews 编译，转载请注明出处：

移动安全研究人员发现一场大规模恶意活动，攻击者通过伪造的约会和社交应用窃取用户敏感数据。该行动被命名为“SarangTrap”，同时针对Android和iOS平台，利用超过250个恶意应用和80余个钓鱼域名实施攻击，韩国用户为主要目标。

安全公司Zimperium本周三发布的报告指出，该活动采用情感操纵策略：通过虚假用户资料、专属“邀请码”及仿真的应用界面诱骗受害者。这些应用伪装成合法服务，实则专门用于窃取用户联系人、私人照片、短信内容及设备标识符等数据。

攻击流程：

用户安装应用后，界面显示正常但会索要不必要的权限。输入攻击者提供的邀请码后，隐藏的间谍程序即被激活。获取权限后，应用将静默上传敏感数据至攻击者控制的服务器。

策略升级与跨平台特性

Zimperium实验室的最新分析显示，恶意软件策略持续演变：

Android端：新样本已从清单文件中移除短信权限，但保留窃取短信的代码，表明攻击者正尝试规避安全扫描。iOS端：改用恶意移动配置描述文件替代传统应用安装。用户授权后，攻击者无需应用即可获取联系人、照片及设备信息。

攻击基础设施

攻击者注册了88个独立域名，其中70余个用于分发恶意软件。至少25个域名被谷歌等搜索引擎收录，并通过“约会”“文件共享”等常见关键词提升排名，使钓鱼页面更具欺骗性。目前累计发现250余个Android恶意样本，部分样本甚至完全省略关键权限以躲避检测，但仍持续窃取数据。

技术与社会工程的结合

该活动将技术手段与社会工程深度融合。典型案例中，一名经历分手的男性用户被虚假约会资料诱导，通过钓鱼链接下载应用并输入邀请码后设备遭入侵。攻击者利用窃取的私密视频对其进行敲诈，威胁向家人公开内容。

Zimperium建议用户：警惕索要邀请码或非常规权限的应用，避免使用第三方应用商店，并定期检查设备配置描述文件与安全设置。

SarangTrap行动目前仍处于活跃进化状态，使得用户保持警惕变得尤为重要。

 

 

 

---

消息来源：infosecurity-magazine；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文