随着中东冲突升级境外安全机构披露了一起定向针对以色列用户的移动间谍软件攻击活动。攻击者伪装以色列官方本土前线司令部通过仿冒官方预警服务的短信向目标分发植入木马的 “红色预警” 火箭预警安卓应用Red Alert rocket warning system正版包名是com.red.alert。Red Alert希伯来名צבע אדום音译 Tzeva Adom是以色列境内普及率最高、民众最依赖的民用火箭弹与紧急安全事件预警移动应用也是地缘冲突背景下以色列民众日常避险的核心工具之一。核心功能如下1. 核心实时预警能力覆盖多类安全威胁预警核心为火箭弹袭击Tzeva Adom 红色代码预警同时支持敌对飞行器入侵、恐怖分子渗透等紧急事件的实时推送依托专用通知服务器预警推送速度可与以色列官方公共防空警报同步甚至提前触发为用户争取避险时间警报触发时会同步显示弹着预估倒计时精确到秒明确告知用户剩余的避险窗口这也是其相比公共广播警报的核心优势之一。2. 精准化个性化预警设置双模式预警推送支持基于 GPS 的实时位置预警用户移动过程中也能自动接收所在区域的警报也可手动搜索、选定关注的城市 / 区域仅接收指定范围的预警通知可设置多个关注区域并为不同区域配置差异化的提示音区分核心居住地与其他关注区域的警报支持静默模式强制唤醒即使手机处于静音、震动状态也会强行播放警报音最大程度避免用户错过紧急预警。3. 配套应急与实用功能警报历史记录可查看过往所有警报的触发位置、时间支持按本地时间适配查看连通性自检内置 “self-test” 功能可随时验证设备能否正常接收预警推送避免因网络、权限问题错过警报音频自定义提供 15 种预设警报音同时支持用户自定义铃声适配不同使用场景一键报平安内置 “Im safe” 功能警报触发后可快速向亲友发送安全状态降低战时失联焦虑该恶意程序在完整保留官方火箭预警功能的同时会在后台秘密窃取用户敏感数据是一起典型的、利用地缘冲突与公众对紧急服务信任实施的定向间谍攻击。攻击以仿冒以色列本土前线司令部的短信为载体向以色列用户推送木马化的 “红警” 火箭预警安卓应用利用冲突时期公众对预警服务的迫切需求实施钓鱼欺诈。恶意应用完整保留了正版火箭预警的全部功能表面运行完全合规同时在后台静默执行恶意代码极具迷惑性。攻击者通过证书伪造、运行时操控技术绕过安卓安全校验让恶意应用伪装成拥有合法签名、来自谷歌官方应用商店的正规程序。恶意软件可窃取用户短信、联系人、实时位置、设备账户信息、已安装应用列表等核心敏感数据并持续回传至攻击者控制的远程命令与控制C2服务器。该攻击凸显了地缘紧张时期公众信任的紧急服务极易被武器化攻击者结合社会工程学与移动间谍技术可大幅提升攻击成功率。2026 年 3 月 1 日这起攻击活动被发现同期以色列民众也在社交媒体上集中反馈收到了相关诈骗短信。本次攻击仿冒的 “红警”צבע אדום应用是以色列数百万民众日常使用的官方火箭、导弹实时预警程序。在冲突持续的背景下用户对这类预警应用的安装、更新需求极为迫切极易放松安全警惕尤其是当推送信息看起来来自以色列官方本土前线司令部פיקוד העורף时用户的信任度会大幅提升。接收通知时的错误已解决。请尽快更新到新版本从攻击溯源来看同类攻击早有先例。2023 年 10 月黑客组织 AnonGhost 就发起过仿冒该应用的木马攻击本次攻击与其存在部分技术特征重叠但使用了全新的攻击基础设施与部分代码。本次攻击的入口是仿冒官方 “Oref Alert” 火箭预警服务的短信。攻击者通过伪造发件人 ID向以色列用户发送短信谎称预警系统出现故障要求收件人立即安装应用的 “更新版本”。短信内包含 bit.ly 短链接会将受害者重定向至恶意 APK 的下载地址诱导用户绕过官方应用商店手动侧载Sideload即非官方渠道手动安装木马化的安装包。2. 恶意样本基础信息本次攻击的核心恶意样本信息如下可作为失陷排查的核心指标应用名称RedAlert.apk安装包名com.red.alertxSHA256 哈希值83651b0589665b112687f0858bfe2832ca317ba75e700c91ac34025ee6578b72该恶意应用采用了双阶段运行架构同时兼具加载器与间谍软件双重功能也是其能完美隐匿恶意行为的核心原因。第一阶段签名伪造与系统信任绕过恶意软件通过动态代理技术hook 了安卓系统的 IPackageManager 服务通过反射访问 ActivityThread将系统原生的 sPackageManager 字段替换为攻击者构造的代理对象。这一操作可以拦截系统对应用信息的查询请求修改返回数据 —— 当系统校验应用签名时加载器会将伪造的签名返回给系统让恶意安装包 com.red.alertx 伪装成正版应用。同时伪造用的证书以 Base64 格式硬编码在代码中通过 FakeSignatureProvider 类适配了新旧不同版本的安卓签名校验机制确保在各类安卓版本上都能绕过签名验证。除此之外加载器还会伪造应用的安装来源强制让系统查询安装来源时返回 com.android.vending让应用看起来是从谷歌官方应用商店安装的进一步降低用户与系统的警惕性。第二阶段正版应用加载与恶意代码隐匿在完成信任绕过之后加载器会从 APK 的 assets 文件夹中提取名为 umgdn 的正版应用文件写入到应用的私有目录 /data/user/0/com.red.alertx/files/ 下。随后加载器会修改 ActivityThread 中的 mAppDir、sourceDir、publicSourceDir 等安卓运行时核心字段强制安卓系统执行提取出来的正版应用而非用户看到的木马安装包。这一设计的狡猾之处在于用户打开应用时看到的、使用的是完全正常、功能完整的正版火箭预警应用能正常接收实时预警通知而恶意的间谍软件组件则完全隐匿在后台静默运行用户几乎无法察觉异常。该间谍软件的核心逻辑是一旦用户授予对应权限立即触发对应的数据窃取操作无任何延迟具体核心能力如下信内容全量窃取当用户授予短信读取权限后恶意软件会立即通过 Telephony.Sms.CONTENT_URI 接口读取设备内的全部短信数据库完整窃取所有短信内容包括银行交易通知、一次性验证码、私人通讯信息等核心高价值数据。通讯录信息深度采集当用户授予通讯录读取权限后恶意软件会立即访问 ContactsContract.Contacts.CONTENT_URI 接口读取设备内的所有联系人条目不仅包含联系人姓名还会通过配套接口提取对应的手机号、邮箱地址等关联信息构建完整的联系人数据集。实时位置追踪与地理围栏触发恶意软件可获取设备的精准 GPS 定位信息不仅会采集并回传用户的实时位置还会计算用户当前位置与预设目标区域的距离仅当用户处于指定范围之内时才会触发后续的恶意操作实现基于地理位置的定向攻击。设备账户信息批量窃取恶意软件通过 Java 反射技术动态调用安卓 AccountManager 类的内部方法在绕过静态分析的同时批量获取设备上注册的所有账户信息包括谷歌账户、邮箱账户、各类社交与服务应用的绑定账户为后续的账户入侵提供支撑。已安装应用全量枚举与用户画像恶意软件会通过系统 PackageManager 服务获取设备上安装的所有应用列表为每一个应用构建结构化的 JSON 数据以 200 个为一批次回传至攻击者服务器。这一行为可让攻击者完整掌握受害者的设备使用环境识别安全工具、金融应用、社交软件等高价值目标制定后续的精准攻击方案。为了对抗安全分析与逆向工程该恶意应用采用了多层混淆与编码技术代码中绝大多数字符串常量都经过 Base64 编码同时使用唯一的 32 字节 XOR 密钥进行加密仅在运行时解密安全分析人员无法直接从代码中提取 C2 地址、恶意行为标识等关键信息代码中的类名、方法名被全部替换为随机无意义的字符同时插入大量无用的包装函数混淆真实的代码执行流程大幅提升逆向分析的难度。恶意软件的 C2 服务器地址硬编码在代码中经过了 Base64XOR 多层加密保护运行时解密后得到的核心数据回传地址为hxxps://api[.]ra-backup[.]com/analytics/submit[.]php所有窃取的用户数据都会被持续传输至该地址。经溯源核心域名 ra-backup [.] com 于 2025 年 6 月通过 Namecheap 注册是专门为本次攻击搭建的全新一次性基础设施这也是定向攻击中常用的 disposable C2 域名模式。目前该 C2 地址的访问返回 404 状态码推测该服务要么设置了严格的请求头校验仅接收来自恶意样本的合法请求要么已经被关停。基于目前已有的攻击特征、目标定向、技术手法等证据评估本次攻击大概率与双尾蝎(Arid Viper,也被称为 APT-C-23组织相关。本次攻击事件是一起典型的利用地缘冲突与公众对紧急服务信任的定向网络间谍活动。攻击者将间谍软件嵌入功能完整的官方预警应用中在最大程度保留用户信任、规避用户察觉的同时实现了对受害者敏感数据的秘密窃取。