正当全球各地处于新冠肺炎暴发的状态,黑客大肆发动以疫情为诱饵的攻击行动,其中最常被提及的莫过于钓鱼电子邮件。不过,最近也有恶意软件打着肺炎信息更新(Coronavirus Update)的名号,实际上却是暗中收集手机个人信息的间谍软件。趋势科技于3月底,发现一起网络间谍行动,黑客利用名为Project Spy的恶意软件感染Android与iOS移动设备,然后执行监听通话内容与收集受害者个人信息,包括联系历史、位置信息,以及社交App发送的消息等资料。
黑客将上述的恶意软件包装在一款叫做Corona Updates的App,这个应用程序在巴基斯坦、印度、阿富汗、孟加垃、伊朗、沙特阿拉伯、奥地利、罗马辄亚、格瑞纳达,以及俄罗斯等地,都有少量用户下载。趋势科技因为黑客的后台管理系统上,登录画面有Project Spy的文本,便以这组字符串来称呼攻击者使用的恶意软件。
趋势科技找到黑客所使用的管理后台登录网页,并以页面上的Project Spy来称呼黑客的攻击工具。
趋势科技发现,Corona Updates会要求数种系统权限,包含能访问通知的内容,以及能够读取外部的存储设备等。其中前者可让这个App从手机的通知里,窃取即时通信软件的消息,除此之外,它还会收集手机的各种用户资料,像是受害人的联系历史和联系人资料、语音备忘录,以及短信与社群软件的消息等,也会收集设备信息的延伸清单,还有SIM卡的信息,以及无线网络的SSID和MAC地址等。
这款名为Corona Updates的App,标榜功能是提供新冠肺炎更新情报(Coronavirus Update),然而首次执行会要求受害者7项权限,像是如图中要求能够访问并发送短信的能力。
从App的程序代码片段中,这款Corona Updates会收集多款社群软件的消息,包含了脸书、WhatsApp、Telegram,以及Threema等App的内容。
虽然Corona Updates在多个国家都有被下载的情况,但是次数并不多,探究其中的原因,趋势科技认为应该与App有部分功能会出现错误有关,因此研判攻击工具并不成熟,尚在开发的阶段。他们推测,黑客传播这款App的动机,有可能是拿来测试特定的攻击手法,或者打算等到App到达特定的下载量,才进一步采取其他的攻击行动。
另一方面,趋势科技解析程序代码后,发现攻击者仅是业余黑客,其中iOS版的程序代码并不完整,很有可能是向他人买来后再加入其他功能。但该公司认为用户不能因此掉以轻心,在Goolge Play商城与苹果App Store下载应用程序,还是要详加检查,用户可借由执行画面的截屏、开发者宣称的功能、应用程序权限需求,以及其他用户评论等层面,来判断应用程序是否有问题。