本周，Zimperium zLabs 的研究人員對外發出警告，提醒 Android 用戶注意一款復雜的新型惡意軟件。

這個新的惡意軟件會將自己偽裝成用于系統更新(System Update)的應用程序，誘騙用戶下載。一旦用戶下載了該惡意軟件，該軟件就會竊取數據、信息、照片并控制 Android 手機，不僅可以竊取用戶設備上已有的數據，黑客還可以偷偷錄制音頻和通話、拍攝照片和訪問用戶地理位置等。

經過調查，研究人員發現這個假冒的"System Update"是一個功能極其復雜的惡意軟件，并且通過向 Google 確認，該應用僅在第三方應用商店上架，從未在 Google Play Store 上出現過。

該移動應用程序對 Android 設備構成威脅，其功能是作為遠程訪問木馬(RAT)接收并執行命令，收集和上傳各種數據，并執行如下的各種惡意行為：

• 竊取即時通訊工具的信息;
• 竊取即時通訊工具數據庫文件(如果有 root 權限);
• 檢查瀏覽器的書簽和搜索記錄;
• 搜索特定后綴的文件(包括.pdf、.doc、.docx 和 .xls、.xlsx);
• 檢查剪貼板數據;
• 檢查通知的內容;
• 錄制音頻;
• 錄制電話;
• 定期拍照(通過前置或后置攝像頭);
• 列出已安裝的應用程序;
• 竊取圖像和視頻;
• 監視 GPS 位置;
• 竊取手機聯系人;
• 竊取通話記錄;
• 竊取設備信息(如安裝的應用程序、設備名稱、存儲統計);
• 通過將圖標從設備的抽屜/菜單中隱藏起來來隱藏其存在。

安裝后(來自第三方商店，而不是 Google Play Store)，設備的詳細信息會被注冊到 Firebase 命令和控制(Command and Control，C&C)服務器端，其中會包括是否存在 WhatsApp、電池電量百分比、存儲狀態、從 Firebase 消息傳遞服務接受到的 token 以及網絡連接的類型。

該惡意軟件有"update" 和 "refreshAllData"兩個選項用于更新設備信息，兩者的區別在于， "update "僅收集設備信息并發送給 C&C，而"refreshAllData"還會生成一個新的 Firebase 令牌并進行數據外泄。獲取受害者的網絡連接類型是因為在使用 Wi-Fi 時，所有竊取數據都會被發送到 C&C，而當受害者在使用移動數據連接時，只有特定的一組數據被發送到 C&C。

通過 Firebase 消息服務接收到的命令會啟動設備上的一些功能，在此過程中 Firebase 通信只用于發布命令，專用的 C&C 服務器通過 POST 請求來收集竊取的數據。

惡意軟件將收集的內容作為加密的 ZIP 文件上傳到 C&C 服務器，一旦收到 C&C 服務器接收上傳文件“成功”的響應后，便會在本地刪除文件。

該惡意軟件還十分關注收集數據的“新鮮度”，會自動拋棄特定時間之前的老舊數據。例如，從 GPS 或網絡(以較新的為準)收集位置數據，如果此最新值距離收集信息的時間已超過 5 分鐘，則它會決定再次從頭開始收集和存儲位置數據。使用設備的相機拍攝的照片也是如此，它只會上傳 40 分鐘以內的數據。

如果用戶對設備進行了 root，則間諜軟件還會通過從 WhatsApp 中復制文件來竊取 WhatsApp 數據庫文件。

Zimperium 研究人員認為，從竊密手法多樣性及躲避偵測的技巧來看，這個間諜軟體能力可謂罕見。目前 Zimperium 也已經公布了 C&C 服務器地址，以供安全人員偵測。

C&C 服務器:

• hxxps://mypro-b3435.firebaseio.com
• hxxps://licences.website/backendNew/public/api/

本文轉自OSCHINA

本文標題：新型 Android 惡意軟件冒充為"系統更新"竊取用戶數據

本文地址：https://www.oschina.net/news/135223/android-malware-posing-as-system-update