當前中東地區(qū)局勢持續(xù)緊張，以色列民眾手機中一款至關重要的應用 ——Red Alert（紅警），成為了日常生活的重要依賴。該應用由以色列國防軍支持研發(fā)，可在火箭彈襲擊前數秒至數十秒推送預警信息，在多次緊急事件中挽救了大量生命。

然而，就在民眾對其高度依賴、無比信任的關鍵時刻，這份關乎生死的信任，卻被不法分子利用，淪為致命的網絡陷阱。

安全廠商 CloudSEK 近期披露了一起高度仿真的移動終端間諜攻擊事件：攻擊者偽裝成官方機構，以 “緊急戰(zhàn)時更新”“增強版紅警” 等名義，通過惡意短信釣魚（Smishing）手段，誘導用戶下載假冒的 Red Alert APK 安裝包。

這款偽造應用在界面與功能上與正版高度一致，可正常接收并顯示真實的火箭彈預警信息；但在用戶無法察覺的后臺，其正悄然竊取并上傳用戶的通訊錄、短信內容與實時位置信息，將用戶隱私完全暴露于黑客掌控之中。

昔日的安全警報，已然淪為危及人身與信息安全的 “紅色危機”，而大量民眾仍將其視作危難中的救命稻草。

一、短信釣魚攻擊的實施路徑：四步誘導用戶主動 “開門”

1.接收偽裝成政府或應急管理機構的釣魚短信

短信內容通常為：“緊急通知！Red Alert 戰(zhàn)時增強版現已發(fā)布，請立即更新以保障預警響應時效！”

2.短信內嵌非官方下載鏈接，絕不會指向 Google Play 官方應用商店

3.點擊后跳轉至第三方網頁，誘導下載外觀正常的 APK 安裝包

4.彈窗誘導用戶開啟 “未知來源應用安裝” 權限，完成安裝

整個攻擊流程精準利用了戰(zhàn)時高度緊張、決策時間緊迫的群體心理，用戶往往來不及甄別便點擊授權，為黑客敞開入侵大門。

二、惡意應用的偽裝深度：高度專業(yè)化的仿冒手段

該偽造版 Red Alert 并非簡單的圖標替換，而是經過精心設計，實現了高度仿真：

• 界面完全復刻：

應用界面與正版 100% 一致，可正常接收真實預警，用戶難以通過視覺分辨真?zhèn)巍?/p>

• 多重反檢測機制：

通過反射劫持 PackageManager，規(guī)避安全軟件檢測；

偽造應用簽名，偽裝為 Google Play 官方來源安裝；

所有惡意行為在后臺靜默執(zhí)行，用戶無任何感知。

• 高危權限索?。?/strong>

讀取完整通訊錄數據；

讀取全部短信內容，含銀行驗證碼、雙因素認證（2FA）驗證碼；

持續(xù)獲取后臺高精度 GPS 定位信息。

用戶一旦授予任一權限，惡意程序即刻啟動數據竊取行為。

三、竊取數據的流向與隱匿機制

被收集的用戶信息經加密 POST 請求，定時上傳至攻擊者控制的 C2 服務器：

https://api.ra-backup[.]com/analytics/submit.php

為規(guī)避追蹤與溯源，黑客構建了三層嵌套防護架構：

• 通過 Cloudflare 代理隱藏服務器真實 IP；

• 后端服務部署于 AWS 云平臺，隱匿于海量合法流量之中；

• 具備斷網續(xù)傳機制，網絡恢復后自動重試上傳，確保數據不丟失。

此類基礎設施使得單純封禁 IP 難以奏效，需結合域名攔截與終端行為檢測協(xié)同防御。

四、攻擊危害已超越普通隱私泄露，上升至安全威脅

CloudSEK 明確指出，此次攻擊的危害已遠超個人隱私泄露范疇，具備顯著的安全風險：

• 實時位置數據可被用于分析人口密集區(qū)域、民眾避難流動軌跡；

• 可精準鎖定特定人群（如軍人家屬），實施定向后續(xù)攻擊；

• 截獲短信驗證碼，直接劫持用戶銀行賬戶、社交賬號、電子郵箱、加密錢包等核心數字資產；

• 單一用戶淪陷，極易引發(fā)家庭、企業(yè)級數字資產的連鎖式攻破。

在戰(zhàn)時背景下，此類惡意程序無異于為敵方提供了可遠程操控的定位工具與身份接管鑰匙。

五、普通用戶的防御建議

普通用戶核心防護措施（按優(yōu)先級排序）

1. 立即開展設備自查

檢索手機中是否存在非 Google Play 渠道安裝的 “Red Alert” 或名稱相近應用，若已安裝，立即卸載，并通過電腦端修改所有重要賬號密碼。

2. 堅守 “三不” 原則

• 不點任何來源不明的 “緊急更新” 短信鏈接；

• 不向預警類應用開放通訊錄、短信、后臺定位等高敏感權限；

• 不從瀏覽器直接下載 APK 安裝包，僅信任 Google Play 官方渠道。

3. 最穩(wěn)妥處置方案

卸載所有第三方渠道下載的 Red Alert，前往 Google Play 官方商店搜索 “Red Alert: Israel”，選擇由 Home Front Command 或官方授權機構開發(fā)的版本重新安裝。

安全從業(yè)者與企業(yè)可執(zhí)行 IOC 及防御建議

• 域名封禁：對 api.ra-backup [.] com 及其子域名實施攔截；

• 終端檢測：排查偽裝為 Google Play 來源、實則通過側載方式安裝的預警類仿冒應用；

• 流量監(jiān)測：識別大量向上述域名發(fā)起 POST 請求的異常流量；

• YARA 規(guī)則：匹配特征字符串 “ra-backup”“analytics/submit.php” 等。

結語

現代戰(zhàn)爭的邊界早已突破傳統(tǒng)范疇，向數字空間全面延伸。

當導彈來襲之際，民眾需要的是真實可靠的警報，而非潛藏于預警應用中的 “數字導彈”。

在焦慮與恐慌情緒蔓延的特殊時期，保持理性審慎的數字安全意識，或許是守護自身與家人安全的最佳屏障。

網絡安全，始于拒絕點擊未知鏈接。

合作電話：18610811242

合作微信：aqniu001

聯系郵箱：bd@aqniu.com