安全研究人員表示，一種強大的新型Android惡意軟件偽裝成關鍵的系統更新，可以完全控制受害者的設備，并竊取他們的數據。該惡意軟件被發現捆綁在一個名為 "系統更新 "的應用中，必須在Android設備的應用商店Google Play之外安裝。

[[390227]]

一旦用戶安裝后，該應用就會隱藏并隱秘地將受害者設備中的數據發送到的自己控制的服務器。

發現該惡意應用的移動安全公司Zimperium的研究人員表示，一旦受害者安裝了該惡意應用，該惡意軟件就會與運營商的Firebase服務器進行通信，用于遠程控制設備。

該惡意軟竊取了廣泛的數據，包括：

• 竊取即時通訊工具的信息
• 竊取即時通訊工具的數據庫文件(如果有root權限)
• 檢查默認瀏覽器的書簽和搜索
• 檢查谷歌瀏覽器，火狐瀏覽器和三星瀏覽器的書簽和搜索歷史
• 搜索特定擴展名的文件(包括.pdf、.doc、.docx和.xls、.xlsx)
• 檢查剪貼板數據
• 檢查通知的內容
• 錄制音頻
• 錄制電話
• 定期拍照(通過前置或后置攝像頭)
• 列出已安裝的應用程序
• 竊取圖像和視頻
• 監視GPS位置
• 竊取短信
• 竊取手機聯系人
• 竊取通話記錄
• 竊取設備信息(如安裝的應用程序、設備名稱、存儲統計)

與其他旨在竊取數據的惡意軟件不同，這個惡意軟件只有在滿足一些條件時才會利用Android的contentObserver和Broadcast接收器得到觸發，比如增加了新的聯系人、新的短信或安裝了新的應用。

該間諜軟件還通過隱藏菜單中的圖標來隱藏其在受感染的Android設備上的存在。

為了進一步逃避檢測，它只會竊取發現的視頻和圖片的縮略圖，從而減少受害者的流量消耗，避免引起他們對后臺數據外流活動的注意。

與其他批量收獲數據的惡意軟件不同，這款惡意軟件還會確保只外流最近的數據，收集最近幾分鐘內創建的位置數據和拍攝的照片。

Zimperium首席執行官Shridhar Mittal表示，該惡意軟件很可能是定向攻擊的一部分。

誘騙別人安裝惡意應用是一種簡單且有效的方法，可以危害受害者的設備。這就是為什么安卓設備會警告用戶不要安裝應用商店以外的應用。

但許多舊設備并不能運行最新的應用，迫使用戶依賴來自盜版應用商店的舊版應用。

來源：cnbeta