安全厂商发现一只有多种恶意手法的间谍软件,冒充Android系统更新程序诱骗用户下载。
Zimperium的扫描引擎侦测到一只远程访问木马(Remote Access Trojan,RAT),出现在非官方(即非Google Play Store)的线上软件商店,伪装成系统更新(System Update)程序诱使Android用户下载。它在受害设备上可执行多种行为,包括窃取消息、图片及各种资料,也能控制Android设备。
研究人员指出,这只尚未命名的RAT程序,除了结合Firebase及专门的C&C服务器外,还拥有少见的多种窃密手法。一旦安装到用户设备,即利用受害设备的WhatsApp线上/脱机状态、电池电量、存储统计,或由Firebase通信服务接到的令牌(token)及连接形态等资料,向Firebase C&C服务器注册。但是第一时间它能刻意不显示于系统菜单,以隐藏行踪。
在受害设备上,这只间谍软件会在多种情形下触发窃密和资料外泄行为,像是利用Android的contentObserver和Broadcast receiver添加联系人、接到新的短信、安装新App等。Firebase通信服务是用以接获指令而启动搜集行为,像是麦克风录音、或是外泄短信内容。其他目标信息包括手机联系人、通话记录、搜索特定文件扩展名(包括.PDF、docx、.xls、.xlsx)的文件或剪贴板资料、设备信息(如应用程序清单、设备名称)。
所有设备上搜索到想要的资料,不论是对话内容、联系人或电话记录后,会立即以加密的ZIP文件上传到C&C服务器。它还会挑选特定日期之前的资料不送,以免资料太旧。而为了不留下踪迹,这只间谍软件会在接到C&C服务器回应“行动成功”后,立即删除文件。
此外,一旦它取得Android控制权,又能进行进一步窃密。像是录音、拍照、滥用设备的辅助服务(Accessibility Services),通过侦测屏幕内容以搜集WhatsApp的交谈、消息内容及数据库文件(如果具根权限)、偷看Google Chrome、Mozilla Firefox或Samsung Internet Browser书签和搜索记录、监控GPS定位,连存储在外部存储设备及缓存中的资料都不放过。
除了窃密外,这只间谍程序也能执行任务调度,并请求手机核准忽略电池优化以免任务中断。 (如下图所示)
Zimperium研究人员认为,从窃密手法多样性及躲避侦测的技巧来看,这只间谍软件能力可谓罕见。该公司也公布了入侵指标(Indication of Compromise)及C&C服务器网址,以供安全人员侦测。