伪装成救命预警APP:一场针对在以色列人员的定向间谍攻击
随着中东冲突升级境外安全机构披露了一起定向针对以色列用户的移动间谍软件攻击活动。攻击者伪装以色列官方本土前线司令部通过仿冒官方预警服务的短信向目标分发植入木马的 “红色预警” 火箭预警安卓应用Red Alert rocket warning system正版包名是com.red.alert。Red Alert希伯来名צבע אדום音译 Tzeva Adom是以色列境内普及率最高、民众最依赖的民用火箭弹与紧急安全事件预警移动应用也是地缘冲突背景下以色列民众日常避险的核心工具之一。核心功能如下1. 核心实时预警能力覆盖多类安全威胁预警核心为火箭弹袭击Tzeva Adom 红色代码预警同时支持敌对飞行器入侵、恐怖分子渗透等紧急事件的实时推送依托专用通知服务器预警推送速度可与以色列官方公共防空警报同步甚至提前触发为用户争取避险时间警报触发时会同步显示弹着预估倒计时精确到秒明确告知用户剩余的避险窗口这也是其相比公共广播警报的核心优势之一。2. 精准化个性化预警设置双模式预警推送支持基于 GPS 的实时位置预警用户移动过程中也能自动接收所在区域的警报也可手动搜索、选定关注的城市 / 区域仅接收指定范围的预警通知可设置多个关注区域并为不同区域配置差异化的提示音区分核心居住地与其他关注区域的警报支持静默模式强制唤醒即使手机处于静音、震动状态也会强行播放警报音最大程度避免用户错过紧急预警。3. 配套应急与实用功能警报历史记录可查看过往所有警报的触发位置、时间支持按本地时间适配查看连通性自检内置 “self-test” 功能可随时验证设备能否正常接收预警推送避免因网络、权限问题错过警报音频自定义提供 15 种预设警报音同时支持用户自定义铃声适配不同使用场景一键报平安内置 “Im safe” 功能警报触发后可快速向亲友发送安全状态降低战时失联焦虑该恶意程序在完整保留官方火箭预警功能的同时会在后台秘密窃取用户敏感数据是一起典型的、利用地缘冲突与公众对紧急服务信任实施的定向间谍攻击。攻击以仿冒以色列本土前线司令部的短信为载体向以色列用户推送木马化的 “红警” 火箭预警安卓应用利用冲突时期公众对预警服务的迫切需求实施钓鱼欺诈。恶意应用完整保留了正版火箭预警的全部功能表面运行完全合规同时在后台静默执行恶意代码极具迷惑性。攻击者通过证书伪造、运行时操控技术绕过安卓安全校验让恶意应用伪装成拥有合法签名、来自谷歌官方应用商店的正规程序。恶意软件可窃取用户短信、联系人、实时位置、设备账户信息、已安装应用列表等核心敏感数据并持续回传至攻击者控制的远程命令与控制C2服务器。该攻击凸显了地缘紧张时期公众信任的紧急服务极易被武器化攻击者结合社会工程学与移动间谍技术可大幅提升攻击成功率。2026 年 3 月 1 日这起攻击活动被发现同期以色列民众也在社交媒体上集中反馈收到了相关诈骗短信。本次攻击仿冒的 “红警”צבע אדום应用是以色列数百万民众日常使用的官方火箭、导弹实时预警程序。在冲突持续的背景下用户对这类预警应用的安装、更新需求极为迫切极易放松安全警惕尤其是当推送信息看起来来自以色列官方本土前线司令部פיקוד העורף时用户的信任度会大幅提升。接收通知时的错误已解决。请尽快更新到新版本从攻击溯源来看同类攻击早有先例。2023 年 10 月黑客组织 AnonGhost 就发起过仿冒该应用的木马攻击本次攻击与其存在部分技术特征重叠但使用了全新的攻击基础设施与部分代码。本次攻击的入口是仿冒官方 “Oref Alert” 火箭预警服务的短信。攻击者通过伪造发件人 ID向以色列用户发送短信谎称预警系统出现故障要求收件人立即安装应用的 “更新版本”。短信内包含 bit.ly 短链接会将受害者重定向至恶意 APK 的下载地址诱导用户绕过官方应用商店手动侧载Sideload即非官方渠道手动安装木马化的安装包。2. 恶意样本基础信息本次攻击的核心恶意样本信息如下可作为失陷排查的核心指标应用名称RedAlert.apk安装包名com.red.alertxSHA256 哈希值83651b0589665b112687f0858bfe2832ca317ba75e700c91ac34025ee6578b72该恶意应用采用了双阶段运行架构同时兼具加载器与间谍软件双重功能也是其能完美隐匿恶意行为的核心原因。第一阶段签名伪造与系统信任绕过恶意软件通过动态代理技术hook 了安卓系统的 IPackageManager 服务通过反射访问 ActivityThread将系统原生的 sPackageManager 字段替换为攻击者构造的代理对象。这一操作可以拦截系统对应用信息的查询请求修改返回数据 —— 当系统校验应用签名时加载器会将伪造的签名返回给系统让恶意安装包 com.red.alertx 伪装成正版应用。同时伪造用的证书以 Base64 格式硬编码在代码中通过 FakeSignatureProvider 类适配了新旧不同版本的安卓签名校验机制确保在各类安卓版本上都能绕过签名验证。除此之外加载器还会伪造应用的安装来源强制让系统查询安装来源时返回 com.android.vending让应用看起来是从谷歌官方应用商店安装的进一步降低用户与系统的警惕性。第二阶段正版应用加载与恶意代码隐匿在完成信任绕过之后加载器会从 APK 的 assets 文件夹中提取名为 umgdn 的正版应用文件写入到应用的私有目录 /data/user/0/com.red.alertx/files/ 下。随后加载器会修改 ActivityThread 中的 mAppDir、sourceDir、publicSourceDir 等安卓运行时核心字段强制安卓系统执行提取出来的正版应用而非用户看到的木马安装包。这一设计的狡猾之处在于用户打开应用时看到的、使用的是完全正常、功能完整的正版火箭预警应用能正常接收实时预警通知而恶意的间谍软件组件则完全隐匿在后台静默运行用户几乎无法察觉异常。该间谍软件的核心逻辑是一旦用户授予对应权限立即触发对应的数据窃取操作无任何延迟具体核心能力如下信内容全量窃取当用户授予短信读取权限后恶意软件会立即通过 Telephony.Sms.CONTENT_URI 接口读取设备内的全部短信数据库完整窃取所有短信内容包括银行交易通知、一次性验证码、私人通讯信息等核心高价值数据。通讯录信息深度采集当用户授予通讯录读取权限后恶意软件会立即访问 ContactsContract.Contacts.CONTENT_URI 接口读取设备内的所有联系人条目不仅包含联系人姓名还会通过配套接口提取对应的手机号、邮箱地址等关联信息构建完整的联系人数据集。实时位置追踪与地理围栏触发恶意软件可获取设备的精准 GPS 定位信息不仅会采集并回传用户的实时位置还会计算用户当前位置与预设目标区域的距离仅当用户处于指定范围之内时才会触发后续的恶意操作实现基于地理位置的定向攻击。设备账户信息批量窃取恶意软件通过 Java 反射技术动态调用安卓 AccountManager 类的内部方法在绕过静态分析的同时批量获取设备上注册的所有账户信息包括谷歌账户、邮箱账户、各类社交与服务应用的绑定账户为后续的账户入侵提供支撑。已安装应用全量枚举与用户画像恶意软件会通过系统 PackageManager 服务获取设备上安装的所有应用列表为每一个应用构建结构化的 JSON 数据以 200 个为一批次回传至攻击者服务器。这一行为可让攻击者完整掌握受害者的设备使用环境识别安全工具、金融应用、社交软件等高价值目标制定后续的精准攻击方案。为了对抗安全分析与逆向工程该恶意应用采用了多层混淆与编码技术代码中绝大多数字符串常量都经过 Base64 编码同时使用唯一的 32 字节 XOR 密钥进行加密仅在运行时解密安全分析人员无法直接从代码中提取 C2 地址、恶意行为标识等关键信息代码中的类名、方法名被全部替换为随机无意义的字符同时插入大量无用的包装函数混淆真实的代码执行流程大幅提升逆向分析的难度。恶意软件的 C2 服务器地址硬编码在代码中经过了 Base64XOR 多层加密保护运行时解密后得到的核心数据回传地址为hxxps://api[.]ra-backup[.]com/analytics/submit[.]php所有窃取的用户数据都会被持续传输至该地址。经溯源核心域名 ra-backup [.] com 于 2025 年 6 月通过 Namecheap 注册是专门为本次攻击搭建的全新一次性基础设施这也是定向攻击中常用的 disposable C2 域名模式。目前该 C2 地址的访问返回 404 状态码推测该服务要么设置了严格的请求头校验仅接收来自恶意样本的合法请求要么已经被关停。基于目前已有的攻击特征、目标定向、技术手法等证据评估本次攻击大概率与双尾蝎(Arid Viper,也被称为 APT-C-23组织相关。本次攻击事件是一起典型的利用地缘冲突与公众对紧急服务信任的定向网络间谍活动。攻击者将间谍软件嵌入功能完整的官方预警应用中在最大程度保留用户信任、规避用户察觉的同时实现了对受害者敏感数据的秘密窃取。

相关新闻

提升javascript开发效率:用快马ai一键生成常用工具函数库

提升javascript开发效率:用快马ai一键生成常用工具函数库

作为一名前端开发者,我经常在项目中重复编写一些基础但必不可少的工具函数。每次新建项目,都要从旧项目里复制粘贴,或者重新搜索、调试,既浪费时间又容易出错。最近,我尝试用InsCode(快马)平台来帮我解决这个问题&…

2026/7/4 13:58:10 阅读更多 →
YOLO11目标跟踪入门:5步完成摄像头实时物体追踪

YOLO11目标跟踪入门:5步完成摄像头实时物体追踪

YOLO11目标跟踪入门:5步完成摄像头实时物体追踪 1. 前言:从“看见”到“追踪” 想象一下,你正在开发一个智能监控系统,或者想做一个能自动追踪宠物的摄像头应用。传统的目标检测技术能帮你“看见”画面中的物体,告诉…

2026/7/3 19:33:38 阅读更多 →
学术研究好帮手:用Hunyuan-MT 7B本地翻译外文文献,无字数限制

学术研究好帮手:用Hunyuan-MT 7B本地翻译外文文献,无字数限制

学术研究好帮手:用Hunyuan-MT 7B本地翻译外文文献,无字数限制 还在为阅读动辄几十页的英文论文而头疼吗?或者需要快速理解一篇德语、日语的关键研究报告?对于科研工作者和学生来说,高效、准确地翻译外文文献是刚需。今…

2026/5/17 10:35:24 阅读更多 →

最新新闻

kkFileView国产化环境中JDK版本选择策略:如何实现最佳兼容性与性能平衡

kkFileView国产化环境中JDK版本选择策略:如何实现最佳兼容性与性能平衡

kkFileView国产化环境中JDK版本选择策略:如何实现最佳兼容性与性能平衡 【免费下载链接】kkFileView Universal File Online Preview Project based on Spring-Boot 项目地址: https://gitcode.com/GitHub_Trending/kk/kkFileView kkFileView作为基于Spring-…

2026/7/6 20:25:33 阅读更多 →
Nova视觉小说框架完整指南:程序员构建交互式叙事游戏的终极工具

Nova视觉小说框架完整指南:程序员构建交互式叙事游戏的终极工具

Nova视觉小说框架完整指南:程序员构建交互式叙事游戏的终极工具 【免费下载链接】Nova Programmer-friendly framework for visual novels (VN) / text-based adventure games (AVG) on Unity 项目地址: https://gitcode.com/gh_mirrors/nova1/Nova Nova是一…

2026/7/6 20:25:33 阅读更多 →
WezTerm:重新定义现代终端体验的GPU加速神器

WezTerm:重新定义现代终端体验的GPU加速神器

WezTerm:重新定义现代终端体验的GPU加速神器 【免费下载链接】wezterm A GPU-accelerated cross-platform terminal emulator and multiplexer written by wez and implemented in Rust 项目地址: https://gitcode.com/GitHub_Trending/we/wezterm 在开发者日…

2026/7/6 20:25:33 阅读更多 →
6DoF运动追踪技术:IIM-42652与PIC18F46K80的嵌入式实现

6DoF运动追踪技术:IIM-42652与PIC18F46K80的嵌入式实现

1. 从3D到6DoF:运动追踪的技术跃迁在嵌入式系统开发领域,运动追踪技术正经历着从基础3D感知到完整6自由度(6DoF)定位的进化。IIM-42652作为TDK InvenSense推出的新一代6轴IMU(惯性测量单元),配合PIC18F46K80微控制器的…

2026/7/6 20:23:32 阅读更多 →
AMP by Example入门教程:如何在5分钟内创建你的第一个AMP页面

AMP by Example入门教程:如何在5分钟内创建你的第一个AMP页面

AMP by Example入门教程:如何在5分钟内创建你的第一个AMP页面 【免费下载链接】amp-by-example DEPRECATED: AMP by Example has been merged into amp.dev 项目地址: https://gitcode.com/gh_mirrors/am/amp-by-example 想要构建快速加载的移动网页吗&#…

2026/7/6 20:21:32 阅读更多 →
CDDStore多控制器管理:父子控制器在复杂界面中的应用

CDDStore多控制器管理:父子控制器在复杂界面中的应用

CDDStore多控制器管理:父子控制器在复杂界面中的应用 【免费下载链接】CDDStore 高仿国美商城 项目地址: https://gitcode.com/gh_mirrors/cd/CDDStore CDDStore作为高仿国美商城的iOS应用,其界面包含首页、分类、商品详情等多个复杂模块。在开发…

2026/7/6 20:21:32 阅读更多 →

日新闻

H2 与 MySQL 单元测试兼容性:5 个关键 SQL 语句差异与规避方案

H2 与 MySQL 单元测试兼容性:5 个关键 SQL 语句差异与规避方案

H2与MySQL单元测试兼容性:5个关键SQL语句差异与规避方案1. 单元测试中的数据库兼容性挑战在Java开发领域,单元测试是保证代码质量的重要环节。当应用涉及数据库操作时,测试环境的搭建往往成为开发者的痛点。H2数据库因其轻量级、内存模式和快…

2026/7/6 0:01:17 阅读更多 →
Windows任务栏终极清理指南:用RBTray一键隐藏窗口到系统托盘

Windows任务栏终极清理指南:用RBTray一键隐藏窗口到系统托盘

Windows任务栏终极清理指南:用RBTray一键隐藏窗口到系统托盘 【免费下载链接】rbtray A fork of RBTray from http://sourceforge.net/p/rbtray/code/. 项目地址: https://gitcode.com/gh_mirrors/rb/rbtray 你是否厌倦了Windows任务栏上密密麻麻的图标&…

2026/7/6 0:01:17 阅读更多 →
Visual C++ 运行时库一键安装终极指南:告别DLL缺失烦恼

Visual C++ 运行时库一键安装终极指南:告别DLL缺失烦恼

Visual C 运行时库一键安装终极指南:告别DLL缺失烦恼 【免费下载链接】vcredist AIO Repack for latest Microsoft Visual C Redistributable Runtimes 项目地址: https://gitcode.com/gh_mirrors/vc/vcredist 你是否曾经遇到过这样的情况:下载了…

2026/7/6 0:05:19 阅读更多 →

周新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/6 8:11:50 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/6 8:11:52 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/6 6:52:56 阅读更多 →

月新闻