注意:偽造成系統(tǒng)更新的安卓惡意軟件可監(jiān)控用戶(hù)
Zimperium研究人員發(fā)現(xiàn)一款具有擴(kuò)展的監(jiān)控功能的安卓惡意軟件,可以從受感染的安卓設(shè)備中竊取數(shù)據(jù)、消息和圖片,并控制安卓手機(jī)設(shè)備。
該惡意軟件以系統(tǒng)更新(System Update)研用的形式通過(guò)第三方的應(yīng)用商店來(lái)進(jìn)行安裝,但不會(huì)出現(xiàn)在谷歌官方應(yīng)用商店中的。因此,極大地限制了能夠感染的設(shè)備數(shù)量,因?yàn)榇蠖鄶?shù)有經(jīng)驗(yàn)的用戶(hù)都不會(huì)安裝。此外,惡意軟件的傳播能力有限,因此無(wú)法感染其他的安卓設(shè)備。
功能:信息竊取
該惡意軟件具有遠(yuǎn)程訪(fǎng)問(wèn)木馬(RAT)的功能,可以收集和竊取信息到其C2 服務(wù)器。Zimperium分析發(fā)現(xiàn),該惡意軟件的功能包括:
- 竊取即時(shí)消息應(yīng)用中的消息;
- 如果系統(tǒng)root后,還可以竊取即時(shí)消息應(yīng)用中的數(shù)據(jù)庫(kù)文件;
- 查看默認(rèn)瀏覽器的書(shū)簽和搜索歷史;
- 查看Google Chrome、Mozilla Firefox、Samsung Internet Browser瀏覽器的書(shū)簽和搜索歷史;
- 搜索具有特定擴(kuò)展的文件,比如.pdf、.doc、.docx、.xls和 .xlsx;
- 查看剪貼板數(shù)據(jù);
- 查看通知內(nèi)容;
- 錄制音頻;
- 對(duì)通話(huà)內(nèi)容進(jìn)行錄音;
- 通過(guò)前置或后置攝像頭定時(shí)拍照;
- 列出安裝的應(yīng)用列表;
- 竊取圖像和視頻文件;
- 監(jiān)控GPS位置;
- 竊取SMS 消息;
- 竊取通話(huà)記錄;
- 竊取設(shè)備信息,比如安裝的應(yīng)用、設(shè)備名、存儲(chǔ)數(shù)據(jù)等。
安裝成功后,惡意軟件可以發(fā)送收集的信息片段到Firebase C2服務(wù)器,包括存儲(chǔ)數(shù)據(jù)、聯(lián)網(wǎng)類(lèi)型、是否安裝了其他應(yīng)用,比如WhatsApp。
如果安卓系統(tǒng)有root 權(quán)限或開(kāi)啟了Accessibility Services,那么監(jiān)控惡意軟件就可以直接收集數(shù)據(jù)。此外,惡意軟件還會(huì)掃描存儲(chǔ)或緩存數(shù)據(jù)的外部存儲(chǔ),并對(duì)這些數(shù)據(jù)進(jìn)行收集,等到用戶(hù)連接WiFi網(wǎng)絡(luò)后將其傳輸?shù)紺2 服務(wù)器。
隱藏和繞過(guò)
與其他竊取數(shù)據(jù)的惡意軟件不同,該惡意軟件只有當(dāng)滿(mǎn)足特定條件后使用安卓的contentObserver和 Broadcast receivers才可以觸發(fā)。滿(mǎn)足的條件包括新建聯(lián)系人、新建文本消息或安裝新的應(yīng)用。
從Firebase 消息服務(wù)接收到的命令會(huì)啟動(dòng)錄制音頻、竊取SMS消息等操作。Firebase 通信只用來(lái)發(fā)布命令,有專(zhuān)門(mén)的C2服務(wù)器通過(guò)POST請(qǐng)求來(lái)搜集竊取的數(shù)據(jù)。
當(dāng)惡意軟件接收到新的命令后,就會(huì)展示偽造的"Searching for update.."系統(tǒng)更新通知,如下圖所示:
偽造的系統(tǒng)更新提醒
該惡意軟件還可以在菜單中隱藏圖標(biāo)來(lái)隱藏其存在。為進(jìn)一步繞過(guò)檢測(cè),該惡意軟件只竊取視頻和圖像的縮略圖,因此可以減少受害者的帶寬消耗以避免因?yàn)橄膸捥叨话l(fā)現(xiàn)。此外,該惡意軟件只竊取最近的數(shù)據(jù),收集的位置數(shù)據(jù)和照片都是過(guò)去幾分鐘生成的。
Zimperium完整技術(shù)分析報(bào)告參見(jiàn)https://blog.zimperium.com/new-advanced-android-malware-posing-as-system-update/
本文翻譯自:https://www.bleepingcomputer.com/news/security/new-android-malware-spies-on-you-while-posing-as-a-system-update/如若轉(zhuǎn)載,請(qǐng)注明原文地址。
