这周,Zimperium zLabs 的分析工作人员对外开放传出警示,提示 Android 用户留意一款繁杂的新式恶意软件。
这一新的恶意软件会将自身装扮成用以系统升级(System Update)的应用软件,哄骗用户免费下载。一旦用户安装了该恶意软件,此软件就会窃取数据信息、信息、照片并操纵 Android 手机上,不但可以窃取用户机器设备上现有的数据信息,网络黑客还能够悄悄录制音频和语音通话、拍照照片和浏览用户所在位置等。
通过调研,科学研究工作人员发觉这一仿冒的"System Update"是一个作用极为繁杂的恶意软件,而且根据向 Google 确定,该运用仅在第三方应用店铺发布,从没在 Google Play Store 上发生过。
该挪动应用软件对 Android 机器设备造成威胁,其功用是做为远程连接木马病毒(RAT)接受并运行命令,搜集和提交各种各样数据信息,并实行如下所示的各类虚假个人行为:
- 窃取即时通信软件的信息;
- 窃取即时通讯工具数据文件(如果有 root 管理权限);
- 查验电脑浏览器的便签和搜索记录;
- 检索特殊后缀名的文档(包含.pdf、.doc、.docx 和 .xls、.xlsx);
- 查验剪切板数据信息;
- 检查通知的內容;
- 录制音频;
- 视频录制电話;
- 按时照相(根据外置或后摄);
- 列举已安裝的应用软件;
- 窃取图象视频;
- 监控 GPS 部位;
- 窃取手机通讯录;
- 窃取通讯记录;
- 窃取机器设备信息(如安裝的应用软件、设备名称、储存统计分析);
- 根据将标志从机器设备的抽屉柜/菜单栏中掩藏起來来掩藏其存有。
安裝后(来源于第三方店铺,而不是 Google Play Store),机器设备的详尽信息会被申请注册到 Firebase 指令和操纵(Command and Control,C&C)服务端,在其中会包含是不是存有 WhatsApp、电池容量百分数、存储状态、从 Firebase 消息传递服务项目接纳到的 token 及其数据连接的种类。
该恶意软件有"update" 和 "refreshAllData"2个选择项用以升级机器设备信息,二者的差异取决于, "update "仅搜集机器设备信息高并发赠给 C&C,而"refreshAllData"还会继续转化成一个新的 Firebase 动态口令并开展数据信息泄露。获得受害人的数据连接种类是由于在应用 Wi-Fi 时,全部窃取数据信息都是被发送至 C&C,而当受害人在应用挪动数据连接时,仅有特殊的一组数据信息被发送至 C&C。
根据 Firebase 信息服务项目接受到的指令会开启机器设备上的一些作用,在这里全过程中 Firebase 通讯只用以发号施令,专用型的 C&C 网络服务器根据 POST 要求来搜集窃取的数据信息。
恶意软件将搜集的信息做为数据加密的 ZIP 上传文件到 C&C 网络服务器,一旦接到 C&C 网络服务器接受文件上传“取得成功”的回应后,便会在当地删除文件夹。
该恶意软件还十分关心搜集数据资料的“鲜度”,会全自动抛下特殊時间以前的年久数据信息。例如,从 GPS 或互联网(以较新的为标准)搜集部位数据信息,假如此全新值间距搜集信息的时间段已超出 5 分鐘,则它会决策再度重新开始搜集和储存部位数据信息。应用设施的照相机拍照的照片也是如此,它只大会上传 40 分鐘之内的数据信息。
假如用户对机器设备实现了 root,则恶意程序还会继续根据从 WhatsApp 中拷贝文档来窃取 WhatsApp 数据文件。
Zimperium 科学研究工作人员觉得,从窃取商业秘密技巧多元性及躲避探测的方法看来,这一特工软件工作能力可以说少见。现阶段 Zimperium 也早已宣布了 C&C 服务器ip,以供安全性工作人员探测。
C&C 网络服务器:
- hxxps://mypro-b3435.firebaseio.com
- hxxps://licences.website/backendNew/public/api/
文中转自OSCHINA
本文文章标题:新式 Android 恶意软件假冒为"系统升级"窃取用户数据信息
文中详细地址:https://www.oschina.net/news/135223/android-malware-posing-as-system-update