安全企业Lookout本周披露了俄罗斯国防承承包商Special Technology Centre(STC)所打造的高级间谍程序Monokle,夹杂在各种Android程序中的Monokle,能够偷偷安装特定的凭证以执行中间人攻击,还能纪录锁住屏幕上的画面,并将设备上的机密信息发送至远程服务器。
STC为俄罗斯的国防承承包商,主要替俄罗斯军方或其它政府组织生产无人机与无线射频设备,该公司同时也研发具攻击性或防御性的Android安全软件,在2016年因涉嫌协助俄罗斯情报局(GRU)干预美国总统大选而遭到奥巴马政府的制裁。
Lookout是在2018年发现Monokle的存在,它随着许多具备合法功能的Android程序而传播,属于远程访问木马,而且目标性极强。
研究人员指出,先进的Monokle采用一些前所未见的技术,例如它能成功从事各种恶意行为而不必取得设备的最高权限,还会在被感染设备的可靠凭证商店中,安装自己的凭证,借以执行中间人攻击,窃听加密流量。
Monokle也利用Android平台上的辅助功能,来窃取设备上其它程序的数据,通过预测的文本字典来判断受害人的兴趣,还能在屏幕锁住的状态下纪录屏幕画面,伺机窥探用户所输入的PIN码、密码或解锁图形。
例如Monokle能够捕获来自Microsoft Word、Google Docs、Facebook messenger、WhatsApp、imo、Viber、Skype、WeChat、VK、Line与Snapchat等第三方程式的数据。
其它的功能还包括侧录键盘、删除任何文件、下载黑客指定的文件、发送短信到黑客指定的号码、窃取通讯录/电子邮件/通话纪录、关注设备位置,以及取得所使用的基站或Wi-Fi热点信息等。
值得注意的是,Monokle主要隐身于合法的程序中,特别是热门程序,它盗用了这些程序的图标与介绍,包括Android、Google、skype及Evernote等;锁定的是那些对伊斯兰教、伊斯兰运动、住在高加索地区及通讯程序UzbekChat感兴趣的对象。