安全简讯（2025.12.03）

1. SmartTube因签名密钥泄露遭恶意更新入侵

12月1日，广受欢迎的Android TV开源YouTube客户端SmartTube因开发者Yuriy Yuliskov的签名密钥泄露，导致恶意更新被推送给用户，引发安全危机。该应用因免费、无广告及在低性能设备上流畅运行的特点，成为Android TV、Fire TV Stick等设备上下载量最高的第三方YouTube客户端之一。事件曝光始于多名用户报告称设备内置的Play Protect防病毒模块阻止SmartTube运行并警告风险。Yuliskov承认其数字密钥在上周晚些时候遭泄露，恶意软件被注入应用。逆向工程显示，受感染的30.51版本包含一个名为libalphasdk.so的隐藏本地库，该库不在公开源代码中，可能为恶意软件。该库静默运行，无需用户交互即可识别设备、注册远程后端，并通过加密通道定期发送指标及接收配置，用户毫无察觉。尽管无直接证据表明存在账户被盗或DDoS僵尸网络活动，但潜在风险极高。为应对危机，Yuliskov已撤销旧签名，计划发布带有独立应用ID的新版本，并承诺新版本上线F-Droid后解决所有问题。

https://www.bleepingcomputer.com/news/security/smarttube-youtube-app-for-android-tv-breached-to-push-malicious-update/

2. 新型MaaS安卓恶意软件Albiriox加速威胁金融机构

12月2日，近期，2025年，一种名为Albiriox的新型“恶意软件即服务（MaaS）”安卓恶意软件在俄语网络犯罪论坛出现，其通过设备完全接管与实时欺诈功能对全球400余个银行及加密货币应用构成威胁。据Cleafy威胁情报团队分析，该恶意软件支持设备端欺诈（ODF），具备远程控制、凭证窃取能力，并于2025年9月从私人测试版过渡至10月推出的公开MaaS模式，订阅费用由每月650美元涨至720美元，运营者还推销基于VNC的辅助功能模块以实现实时屏幕流传输和交互。早期攻击通过短信链接定向奥地利用户，诱导其访问伪造Google Play网站下载“Penny Market”恶意应用作为投放器，最终加载Albiriox；后改为通过WhatsApp发送链接并过滤奥地利号码。该恶意软件利用JSONPacker混淆代码，诱使受害者启用“安装未知应用”权限后，通过未加密TCP通道连接命令服务器并注册设备。其支持黑屏提示、UI自动化及系统更新伪装，且开发者通过集成Golden Crypt加密服务绕过静态扫描，强化规避检测能力。

https://www.infosecurity-magazine.com/news/android-maas-malware-albiriox-dark/

3. 知名品牌遭Calendly钓鱼致企业账户安全风险

12月2日，近期，一场针对联合利华、迪士尼、万事达卡、LVMH、Uber等知名品牌的网络钓鱼活动引发关注。攻击者以Calendly日程安排平台为诱饵，通过精心设计的虚假会议邀请，窃取Google Workspace和Facebook企业账户凭据，进而发起恶意广告活动或转售账户牟利。该活动具有高度针对性，攻击者冒充品牌招聘人员，利用AI工具伪造超75个品牌的虚假身份，向目标发送包含恶意链接的会议邀请。受害者点击链接后，会被引导至伪造的Calendly登录页面，该页面先显示验证码，再跳转至AiTM（中间人攻击）钓鱼页面，试图窃取Google Workspace登录会话。部分变种攻击还利用浏览器内浏览器（BitB）技术，通过显示合法URL的虚假弹出窗口，进一步绕过用户警惕。值得注意的是，广告平台允许地理位置、域名及设备定向，使攻击者可开展“水坑式”攻击。

https://www.bleepingcomputer.com/news/security/fake-calendly-invites-spoof-top-brands-to-hijack-ad-manager-accounts/

4. 伊朗MuddyWater借贪吃蛇间谍软件攻击中东基建

12月3日，与伊朗情报与国家安全部存在关联的威胁行为体MuddyWater，针对埃及和以色列的关键基础设施发起了一场技术精密的网络攻击。该行动发生于2024年9月至2025年3月，以鱼叉式钓鱼邮件为初始载体，邮件附件伪装成合法PDF文档，诱导目标点击链接下载托管在OneHub、Mega等免费文件共享平台上的间谍软件安装程序。此次攻击的核心工具为名为"MuddyViper"的新型后门程序，其具备多重恶意功能：可窃取Windows系统登录凭证、浏览器历史记录与敏感数据，收集主机配置信息，远程传输或执行文件，以及执行任意Shell命令。为规避安全检测，MuddyViper采用了名为"Fooder"的自定义加载器，该加载器通过模拟经典游戏"贪吃蛇"的运行逻辑实现隐蔽加载，其利用贪吃蛇的"核心逻辑"与Windows Sleep API调用构建延迟函数，将恶意代码反射加载至内存执行，有效延缓恶意行为暴露时间，对抗自动化分析系统。

https://therecord.media/iran-linked-hackers-target-israel-egypt-phishing

5. 全球ChatGPT服务突发故障，OpenAI紧急修复中

12月2日，OpenAI旗下AI聊天工具ChatGPT在全球范围内突发大规模故障，用户访问时频繁收到"似乎出了点问题""生成响应时出错"等错误提示。据用户反馈及测试显示，故障表现为聊天界面持续加载无响应、历史对话莫名消失、新消息发送后长时间卡顿等问题。DownDetector实时监测数据显示，故障高峰期全球超3万名用户报告服务异常，其中美国东部地区用户受影响最为显著。OpenAI官方于美国东部时间2:40发布声明，承认已注意到ChatGPT服务异常问题，并正全力排查修复。公司透露，故障发生后错误率显著上升，受影响用户普遍遭遇服务中断或性能下降。技术团队初步排查发现，此次故障涉及多区域服务器集群，可能源于底层架构负载过高或临时性系统错误。截至美国东部时间15:14，OpenAI更新进展称ChatGPT服务已开始逐步恢复，但整体响应速度仍较慢，部分功能尚未完全正常。公司强调，将继续优先处理用户连接问题，并计划在完全修复后发布详细故障分析报告。

https://www.bleepingcomputer.com/news/artificial-intelligence/chatgpt-is-down-worldwide-conversations-dissapeared-for-users/

6. 索邦大学遭遇大规模员工数据泄露

12月1日，法国顶尖学府索邦大学近日卷入重大数据泄露事件，黑客在暗网非法论坛宣称窃取了包含3.2万条员工信息的敏感数据，涉及银行账号、工资记录、身份证件等多类隐私内容。此次事件由威胁情报机构Daily Dark Web首次披露，随后Cybernews研究人员对样本文件进行核查，发现数据包含全名、部门、职位、邮箱、合同类型、薪资、内部员工代码及可能存在的邮政编码等详细字段，但未包含其他威胁行为者声称的完整数据集。据黑客在论坛的声明，泄露数据涵盖七大类信息：专业身份信息（如内部标识符、就业状态）、合同数据（起止日期、行政文件PDF）、薪酬记录（奖金津贴、电子工资单）、银行信息（RIB/IBAN、BIC账号）、社会保障信息（社保号码、病假证明）、辅助文件（简历、毕业证书）及其他人力资源导出数据（员工表、任务分配表等）。

https://cybernews.com/security/sorbonne-universite-data-security-incident/