当前中东地区局势持续紧张,以色列民众手机中一款至关重要的应用 ——Red Alert(红警),成为了日常生活的重要依赖。该应用由以色列国防军支持研发,可在火箭弹袭击前数秒至数十秒推送预警信息,在多次紧急事件中挽救了大量生命。

然而,就在民众对其高度依赖、无比信任的关键时刻,这份关乎生死的信任,却被不法分子利用,沦为致命的网络陷阱。

打开网易新闻 查看精彩图片

安全厂商 CloudSEK 近期披露了一起高度仿真的移动终端间谍攻击事件:攻击者伪装成官方机构,以 “紧急战时更新”“增强版红警” 等名义,通过恶意短信钓鱼(Smishing)手段,诱导用户下载假冒的 Red Alert APK 安装包。

这款伪造应用在界面与功能上与正版高度一致,可正常接收并显示真实的火箭弹预警信息;但在用户无法察觉的后台,其正悄然窃取并上传用户的通讯录、短信内容与实时位置信息,将用户隐私完全暴露于黑客掌控之中。

昔日的安全警报,已然沦为危及人身与信息安全的 “红色危机”,而大量民众仍将其视作危难中的救命稻草。

一、短信钓鱼攻击的实施路径:四步诱导用户主动 “开门”

1.接收伪装成政府或应急管理机构的钓鱼短信

短信内容通常为:“紧急通知!Red Alert 战时增强版现已发布,请立即更新以保障预警响应时效!”

2.短信内嵌非官方下载链接,绝不会指向 Google Play 官方应用商店

3.点击后跳转至第三方网页,诱导下载外观正常的 APK 安装包

4.弹窗诱导用户开启 “未知来源应用安装” 权限,完成安装

整个攻击流程精准利用了战时高度紧张、决策时间紧迫的群体心理,用户往往来不及甄别便点击授权,为黑客敞开入侵大门。

二、恶意应用的伪装深度:高度专业化的仿冒手段

该伪造版 Red Alert 并非简单的图标替换,而是经过精心设计,实现了高度仿真:

  • 界面完全复刻:

应用界面与正版 100% 一致,可正常接收真实预警,用户难以通过视觉分辨真伪。

  • 多重反检测机制:

通过反射劫持 PackageManager,规避安全软件检测;

伪造应用签名,伪装为 Google Play 官方来源安装;

所有恶意行为在后台静默执行,用户无任何感知。

  • 高危权限索取:

读取完整通讯录数据;

读取全部短信内容,含银行验证码、双因素认证(2FA)验证码;

持续获取后台高精度 GPS 定位信息。

用户一旦授予任一权限,恶意程序即刻启动数据窃取行为。

三、窃取数据的流向与隐匿机制

被收集的用户信息经加密 POST 请求,定时上传至攻击者控制的 C2 服务器:

https://api.ra-backup[.]com/analytics/submit.php

为规避追踪与溯源,黑客构建了三层嵌套防护架构:

  • 通过 Cloudflare 代理隐藏服务器真实 IP;

  • 后端服务部署于 AWS 云平台,隐匿于海量合法流量之中;

  • 具备断网续传机制,网络恢复后自动重试上传,确保数据不丢失。

此类基础设施使得单纯封禁 IP 难以奏效,需结合域名拦截与终端行为检测协同防御。

四、攻击危害已超越普通隐私泄露,上升至安全威胁

CloudSEK 明确指出,此次攻击的危害已远超个人隐私泄露范畴,具备显著的安全风险:

  • 实时位置数据可被用于分析人口密集区域、民众避难流动轨迹;

  • 可精准锁定特定人群(如军人家属),实施定向后续攻击;

  • 截获短信验证码,直接劫持用户银行账户、社交账号、电子邮箱、加密钱包等核心数字资产;

  • 单一用户沦陷,极易引发家庭、企业级数字资产的连锁式攻破。

在战时背景下,此类恶意程序无异于为敌方提供了可远程操控的定位工具与身份接管钥匙。

五、普通用户的防御建议

普通用户核心防护措施(按优先级排序)

1. 立即开展设备自查

检索手机中是否存在非 Google Play 渠道安装的 “Red Alert” 或名称相近应用,若已安装,立即卸载,并通过电脑端修改所有重要账号密码。

2. 坚守 “三不” 原则

  • 不点任何来源不明的 “紧急更新” 短信链接;

  • 不向预警类应用开放通讯录、短信、后台定位等高敏感权限;

  • 不从浏览器直接下载 APK 安装包,仅信任 Google Play 官方渠道。

3. 最稳妥处置方案

卸载所有第三方渠道下载的 Red Alert,前往 Google Play 官方商店搜索 “Red Alert: Israel”,选择由 Home Front Command 或官方授权机构开发的版本重新安装。

安全从业者与企业可执行 IOC 及防御建议

  • 域名封禁:对 api.ra-backup [.] com 及其子域名实施拦截;

  • 终端检测:排查伪装为 Google Play 来源、实则通过侧载方式安装的预警类仿冒应用;

  • 流量监测:识别大量向上述域名发起 POST 请求的异常流量;

  • YARA 规则:匹配特征字符串 “ra-backup”“analytics/submit.php” 等。

结语

现代战争的边界早已突破传统范畴,向数字空间全面延伸。

打开网易新闻 查看精彩图片

当导弹来袭之际,民众需要的是真实可靠的警报,而非潜藏于预警应用中的 “数字导弹”。

在焦虑与恐慌情绪蔓延的特殊时期,保持理性审慎的数字安全意识,或许是守护自身与家人安全的最佳屏障。

网络安全,始于拒绝点击未知链接。

合作电话:18610811242

合作微信:aqniu001

联系邮箱:bd@aqniu.com

打开网易新闻 查看精彩图片