注意:偽造成系統更新的安卓惡意軟件可監控用戶
Zimperium研究人員發現一款具有擴展的監控功能的安卓惡意軟件,可以從受感染的安卓設備中竊取數據、消息和圖片,并控制安卓手機設備。
該惡意軟件以系統更新(System Update)研用的形式通過第三方的應用商店來進行安裝,但不會出現在谷歌官方應用商店中的。因此,極大地限制了能夠感染的設備數量,因為大多數有經驗的用戶都不會安裝。此外,惡意軟件的傳播能力有限,因此無法感染其他的安卓設備。
功能:信息竊取
該惡意軟件具有遠程訪問木馬(RAT)的功能,可以收集和竊取信息到其C2 服務器。Zimperium分析發現,該惡意軟件的功能包括:
- 竊取即時消息應用中的消息;
- 如果系統root后,還可以竊取即時消息應用中的數據庫文件;
- 查看默認瀏覽器的書簽和搜索歷史;
- 查看Google Chrome、Mozilla Firefox、Samsung Internet Browser瀏覽器的書簽和搜索歷史;
- 搜索具有特定擴展的文件,比如.pdf、.doc、.docx、.xls和 .xlsx;
- 查看剪貼板數據;
- 查看通知內容;
- 錄制音頻;
- 對通話內容進行錄音;
- 通過前置或后置攝像頭定時拍照;
- 列出安裝的應用列表;
- 竊取圖像和視頻文件;
- 監控GPS位置;
- 竊取SMS 消息;
- 竊取通話記錄;
- 竊取設備信息,比如安裝的應用、設備名、存儲數據等。
安裝成功后,惡意軟件可以發送收集的信息片段到Firebase C2服務器,包括存儲數據、聯網類型、是否安裝了其他應用,比如WhatsApp。
如果安卓系統有root 權限或開啟了Accessibility Services,那么監控惡意軟件就可以直接收集數據。此外,惡意軟件還會掃描存儲或緩存數據的外部存儲,并對這些數據進行收集,等到用戶連接WiFi網絡后將其傳輸到C2 服務器。
隱藏和繞過
與其他竊取數據的惡意軟件不同,該惡意軟件只有當滿足特定條件后使用安卓的contentObserver和 Broadcast receivers才可以觸發。滿足的條件包括新建聯系人、新建文本消息或安裝新的應用。
從Firebase 消息服務接收到的命令會啟動錄制音頻、竊取SMS消息等操作。Firebase 通信只用來發布命令,有專門的C2服務器通過POST請求來搜集竊取的數據。
當惡意軟件接收到新的命令后,就會展示偽造的"Searching for update.."系統更新通知,如下圖所示:
偽造的系統更新提醒
該惡意軟件還可以在菜單中隱藏圖標來隱藏其存在。為進一步繞過檢測,該惡意軟件只竊取視頻和圖像的縮略圖,因此可以減少受害者的帶寬消耗以避免因為消耗帶寬太高而被發現。此外,該惡意軟件只竊取最近的數據,收集的位置數據和照片都是過去幾分鐘生成的。
Zimperium完整技術分析報告參見https://blog.zimperium.com/new-advanced-android-malware-posing-as-system-update/
本文翻譯自:https://www.bleepingcomputer.com/news/security/new-android-malware-spies-on-you-while-posing-as-a-system-update/如若轉載,請注明原文地址。
