竊密手法多元的Android間諜軟體,冒充系統更新程式流傳

一隻針對Android用戶的遠端存取木馬藏匿在非官方軟體商店,偽裝成系統更新程式誘使用戶下載

一隻偽裝成系統更新(System Update)程式的遠端存取木馬(RAT),躲藏於非官方(即非Play Store)的線上軟體商店,誘使Android用戶下載。這隻RAT程式除了結合Firebase及專門的C&C伺服器外,還擁有少見的多元竊密手法。(圖片來源/Zimperium,the Noun Project)

安全廠商發現一隻有多種惡意手法的間諜軟體,冒充Android系統更新程式誘騙用戶下載。

Zimperium的掃瞄引擎偵測到一隻遠端存取木馬(Remote Access Trojan,RAT),出現在非官方(即非Google Play Store)的線上軟體商店,偽裝成系統更新(System Update)程式誘使Android用戶下載。它在受害裝置上可執行多種行為,包括竊取訊息、圖片及各種資料,也能控制Android裝置。

研究人員指出,這隻尚未命名的RAT程式,除了結合Firebase及專門的C&C伺服器外,還擁有少見的多種竊密手法。一旦安裝到用戶裝置,即利用受害裝置的WhatsApp線上/離線狀態、電池電量、儲存統計,或由Firebase通訊服務接到的令牌(token)及連線型態等資料,向Firebase C&C伺服器註冊。但是第一時間它能刻意不顯示於系統選單,以隱藏行蹤。

在受害裝置上,這隻間諜軟體會在多種情形下觸發竊密和資料外洩行為,像是利用Android的contentObserver和Broadcast receiver新增聯絡人、接到新的簡訊、安裝新App等。Firebase通訊服務是用以接獲指令而啟動蒐集行為,像是麥克風錄音、或是外洩簡訊內容。其他目標資訊包括手機聯絡人、通話紀錄、搜尋特定副檔名(包括.PDF、docx、.xls、.xlsx)的檔案或剪貼簿資料、裝置資訊(如應用程式清單、裝置名稱)。

所有裝置上搜尋到想要的資料,不論是對話內容、聯絡人或電話紀錄後,會立即以加密的ZIP檔案上傳到C&C伺服器。它還會挑選特定日期之前的資料不送,以免資料太舊。而為了不留下蹤跡,這隻間諜軟體會在接到C&C伺服器回應「行動成功」後,立即刪除檔案。

此外,一旦它取得Android控制權,又能進行進一步竊密。像是錄音、拍照、濫用裝置的輔助服務(Accessibility Services),透過偵測螢幕內容以蒐集WhatsApp的交談、訊息內容及資料庫檔案(如果具根權限)、偷看Google Chrome、Mozilla Firefox或Samsung Internet Browser書籤和搜尋紀錄、監控GPS定位,連儲存在外部儲存裝置及快取中的資料都不放過。

除了竊密外,這隻間諜程式也能執行任務排程,並請求手機核准忽略電池最佳化以免任務中斷。(如下圖所示)

Zimperium研究人員認為,從竊密手法多樣性及躲避偵測的技巧來看,這隻間諜軟體能力可謂罕見。該公司也公布了入侵指標(Indication of Compromise)及C&C伺服器網址,以供安全人員偵測。

資料來源:iThome

向上滑動