網(wǎng)絡(luò)安全領(lǐng)域近期出現(xiàn)一種名為"Gorilla"的新型安卓惡意軟件，專門設(shè)計(jì)用于攔截包含一次性密碼（OTP）的短信。

該惡意軟件在后臺(tái)隱蔽運(yùn)行，通過濫用安卓權(quán)限系統(tǒng)獲取受感染設(shè)備的敏感信息。初步分析表明，Gorilla主要針對(duì)銀行客戶和Yandex等流行服務(wù)用戶，并對(duì)竊取的短信進(jìn)行分類以便攻擊者利用。

技術(shù)實(shí)現(xiàn)機(jī)制

該惡意軟件利用READ_PHONE_STATE和READ_PHONE_NUMBERS等關(guān)鍵安卓權(quán)限，獲取SIM卡信息并讀取受感染設(shè)備的電話號(hào)碼。

安裝后，Gorilla通過WebSocket協(xié)議建立與C2（命令與控制）基礎(chǔ)設(shè)施的持久連接，連接格式為"ws://$URL/ws/devices/?device_id=$android_id&platform=android"，保持與操作者的持續(xù)通信。這種連接方式使惡意軟件能夠?qū)崟r(shí)接收指令并外泄敏感數(shù)據(jù)。

研究人員發(fā)現(xiàn)，Gorilla采用非常規(guī)技術(shù)規(guī)避檢測(cè)：避免使用需要REQUEST_INSTALLED_PACKAGES權(quán)限的getInstalledPackages或getInstalledApplications API，轉(zhuǎn)而查詢啟動(dòng)器意圖來確定軟件包名稱、應(yīng)用名稱和版本信息，從而在保持低調(diào)的同時(shí)收集已安裝應(yīng)用信息。

攻擊目標(biāo)與數(shù)據(jù)分類

惡意軟件的C2面板顯示其運(yùn)作相當(dāng)精密，竊取的短信被系統(tǒng)性地歸類為"銀行"和"Yandex"等標(biāo)簽，表明其針對(duì)金融信息和流行服務(wù)的定向攻擊策略。這種分類使攻擊者能快速識(shí)別并利用攔截消息中的有價(jià)值驗(yàn)證碼和敏感信息。

Gorilla通過一系列后臺(tái)服務(wù)保持持久運(yùn)行，即使用戶未主動(dòng)使用設(shè)備也能持續(xù)運(yùn)作。為符合安卓要求，這些服務(wù)使用startForeground API和FOREGROUND_SERVICE權(quán)限顯示通知，將其惡意活動(dòng)偽裝成合法系統(tǒng)進(jìn)程。

技術(shù)分析：指令結(jié)構(gòu)與功能

該惡意軟件的指令結(jié)構(gòu)包含三種主要操作類型：

操作類型（來源：Catalyst）

• "device_info"指令：提取并傳輸受感染設(shè)備的詳細(xì)信息
• "update_settings"指令：當(dāng)前僅記錄接收情況，但可能用于遠(yuǎn)程配置惡意軟件行為
• "send_sms"指令：允許攻擊者從受感染設(shè)備向指定接收者發(fā)送自定義內(nèi)容的短信

// Gorilla惡意軟件中的指令處理結(jié)構(gòu)
// 三種主要指令類型：
device_info // 傳輸設(shè)備信息
update_settings // 當(dāng)前未激活但記錄接收情況
send_sms // 允許遠(yuǎn)程發(fā)送指定內(nèi)容的短信

潛在擴(kuò)展功能

雖然當(dāng)前主要利用短信攔截功能，但Gorilla包含的組件表明其功能可能進(jìn)一步擴(kuò)展。未使用的WebViewActivity類尤其值得關(guān)注，該組件通常用于渲染HTML內(nèi)容，銀行類惡意軟件常用其顯示仿冒頁面以竊取銀行憑證或信用卡信息。

惡意軟件還包含一個(gè)目前未激活的持久化機(jī)制USSDReceiver類，該組件設(shè)計(jì)用于監(jiān)聽"*#0000#"撥號(hào)代碼并在檢測(cè)到時(shí)啟動(dòng)MainActivity。雖然當(dāng)前未注冊(cè)激活，但該機(jī)制可能為攻擊者提供額外方法確保惡意軟件在被清除后仍能保持運(yùn)行。