文章总结： 安全研究人员发现与哈马斯有关的攻击者向以色列人投放伪装成‘红色警报’应用的间谍软件。该恶意软件由AridViper组织通过短信传播，利用伪造证书绕过Android检测，窃取GPS、短信及联系人数据，并借助覆盖层攻击拦截凭证。此次攻击被认定为广泛且无差别的网络间谍活动，以色列官方已发布相关警告。 综合评分： 80 文章分类： 恶意软件,威胁情报,移动安全,社会工程学,安全大事件

伪装成紧急警报应用程序的间谍软件被发送到以色列人手机上

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年3月9日 09:00 湖北

导读

安全研究人员称，与哈马斯有关联的攻击者正在通过短信向以色列人的智能手机投放伪装成紧急警报应用程序的间谍软件。

Acronis 威胁研究部门 (TRU) 的分析师发现了这款恶意应用程序——它是数百万以色列人使用的“Red Alert（红色警报）”应用程序的木马版本。

TRU高级安全研究员埃利亚德·金希告诉《The Register》 ： “目前尚无法确定此次攻击的范围或规模，也无法确定有多少感染成功。”

此次攻击很可能是无差别攻击。他还指出，以色列国家网络安全局和所有以色列主要新闻网站都已发布了关于此次网络钓鱼攻击的警告。这“进一步印证了此次攻击范围广泛且无差别的理论”。

威胁研究人员表示，此次攻击活动可能与一个名为“干旱毒蛇”（ Arid Viper，又名 APT-C-23、沙漠猎鹰或双尾蝎）的哈马斯关联网络间谍组织有关，该组织至少从 2013 年起就十分活跃。该组织通常使用针对Android、iOS和Windows系统的监控恶意软件攻击以色列人。

这项新活动利用伪装成官方“Oref Alert”火箭预警服务的短信，通过伪造的发送者ID发送，敦促收件人安装最新版本的紧急警报应用程序。

短信中包含一个bit.ly短链接，但该链接并非指向合法的Red Alert更新页面，而是将用户重定向到间谍软件下载页面，该软件会收集并窃取用户信息。

该恶意软件的开发者使用了伪造的证书，并且该应用程序还伪造了安装程序来源，使软件看起来像是从 Google Play 安装的。这使其能够绕过 Android 的安全检查，并看起来像是经过合法签名。

对该恶意软件的分析表明，它会请求 20 项权限。其中六项尤其令人担忧，因为它们允许实时访问用户的精确 GPS 位置、短信、联系人列表以及存储在设备上的帐户。

此外，它还允许攻击者在手机上的其他应用程序之上创建钓鱼覆盖层，从而使攻击者能够拦截一次性密码、凭据和账号。而且，该间谍应用程序会在设备重启后自动启动，从而保持对受害者手机的持久性。

所有这些被盗数据都会先存储在本地，然后不断传输到攻击者的远程命令和控制 (C2) 服务器。

新闻链接：

https://www.theregister.com/2026/03/06/spyware_disguised_as_emergency_alert/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《伪装成紧急警报应用程序的间谍软件被发送到以色列人手机上》