EFF och Lookout avslöjar malware-kampanj

Electronical Frontier Foundation och säkerhetsföretaget Lookout avslöjar en pågående kampanj med malware och smittade falska appar som används för att avlyssna användare.

Falska appar, smittade appar och malware har spridits i över 20 länder och ett stort antal användare har smittats.


I rapporten finns uppgifter om smittade appar för Android, smittade program för Windows, Linux och Mac. Bland de appar och program smittats finns WhatsApp och Signal – meddelandeappar och tjänster. Enligt rapporten så har mycket stora mängder data stulits och samlats in, främst från mobila enheter.

Lookout and Electronic Frontier Foundation (EFF) have discovered Dark Caracal2, a persistent and proli c actor, who at the timeof writing is believed to be administered out of a building belonging to the Lebanese General Security Directorate in Beirut. Atpresent, we have knowledge of hundreds of gigabytes of ex ltrated data, in 21+ countries, across thousands of victims. Stolen data includes enterprise intellectual property and personally identi able information. We are releasing more than 90 indicators of compromise (IOC) associated with Dark Caracal including 11 different Android malware IOCs; 26 desktop malware IOCs across Windows, Mac, and Linux; and 60 domain/IP based IOCs.

I rapporten pekas den libanesiska säkerhetstjänsten ut som sannolik skapare och den som samlar in alla den här informationen.


I trojaniserade versioner av Adobes Flash Player finns ytterligare tecken som pekar mot Libanon. Bland de e-postadresser som använts finns flera adresser som har använts av libanesiska medborgare.

The infrastructure used by Dark Caracal revealed several different associated personas. This resulted in the team linking four different aliases, two domains, and two phone numbers to this infrastructure. At the center of these personas is the emailaddress op13@mail[.]com which has appeared at various stages in the historical WHOIS information of Dark Caracal domains



De smittade mobila enheterna har använts för avlyssning. Meddelanden, e-post, bilder, videor och annan information har samlats in från journalister, aktivister och advokater. Smittade enheter har även kunnat spela in telefonsamtal och samtal som förts i närheten.



This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.