Android 恶意软件伪装成系统更新应用程序,可监控用户

Andrew 2021-03-29
专栏 - 资讯 发布于 2021-03-29 17:56:47 阅读 79 评论 0

研究人员发现了一款新的、“复杂的”安卓间谍软件应用程序,它伪装成软件更新。

据Zimperium zLabs称,该恶意软件伪装成系统更新应用程序,同时悄悄泄露用户和手机数据。

应当注意,团队检测到的示例应用程序是在第三方存储库中找到的,而不是在官方的Google Play商店中找到的。

安装后,受害者的设备会注册到用于发布命令的Firebase命令与控制(C2)服务器,而单独的专用C2用于管理数据盗窃。

该团队表示,一旦满足条件(包括添加新的移动联系人,安装新的应用程序或收到SMS消息),就会触发数据泄露。

该恶意软件是一种远程访问木马(RAT),能够窃取GPS数据和SMS消息,联系人列表,通话记录,收获图像和视频文件,秘密记录基于麦克风的音频,劫持移动设备的相机拍照,查看浏览器。书签和历史记录,窃听电话并窃取手机上的操作信息,包括存储统计信息和已安装的应用程序列表。

由于RAT滥用Accessibility Services来访问这些应用程序(包括WhatsApp),因此即时通讯程序内容也面临风险。

如果受害设备已经根植,则也可以获取数据库记录。该应用程序还可以专门搜索文件类型,例如.pdf,.doc,.docx,.xls和.xlsx。

RAT还将尝试从外部存储中窃取文件。但是,考虑到某些内容(例如视频)可能太大而无法在不影响连接性的情况下进行窃取,因此仅提取了缩略图。

研究人员指出:“当受害者使用Wi-Fi时,所有文件夹中的所有被盗数据都将发送到C2,而当受害者使用移动数据连接时,只会将特定的一组数据发送到C2。”

限制移动连接的使用是一种防止用户怀疑其设备已受到威胁的方法。此外,一旦将信息打包并发送到C2,就会删除存档文件,以免被发现。

为了确保仅获取相关的和最新的数据,RAT的运营商已对内容施加了时间限制-例如最新的GPS记录,如果被窃取的数据记录包含过去五分钟以上的值,则一次又一次被窃取。照片也设置为40分钟计时器。

Zimperium将该恶意软件描述为“功能复杂的复杂间谍软件行动”的一部分。

本月初,谷歌从Play商店中撤出了许多Android应用程序,其中包含用于存放木马的投递器。该实用程序应用程序包括虚拟专用网络(VPN)服务,记录器和条形码扫描仪,用于安装mRAT和AlienBot。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!