Zimperium科学研究工作人员发觉一款具备拓展的实时监控作用的安卓系统恶意软件,可以从受传染的安卓设备中窃取数据、消息和照片,并操纵安卓手机机器设备。
该恶意软件以系统升级(System Update)研用的方式根据第三方的应用商城来开展安装,但不可能发生在谷歌官方应用商城中的。因而,巨大地限定了可以感柒的设施总数,由于大部分有工作经验的使用者都不容易安装。除此之外,恶意软件的散播能力有限,因而没法感柒别的的安卓设备。
作用:信息窃取
该恶意软件具备远程连接木马病毒(RAT)的作用,可以采集和窃取信息到其C2 网络服务器。Zimperium剖析发觉,该恶意软件的作用包含:
- 窃取及时消息运用中的消息;
- 假如系统软件root后,还能够窃取及时消息运用中的数据元件库;
- 查询默认浏览器的便签和历史搜索;
- 查询Google Chrome、Mozilla Firefox、Samsung Internet Browser电脑浏览器的便签和历史搜索;
- 检索具备特殊拓展的文档,例如.pdf、.doc、.docx、.xls和 .xlsx;
- 查询剪切板数据;
- 查询通告內容;
- 录制音频;
- 对语音通话內容开展音频;
- 根据外置或后摄按时照相;
- 列举安装的运用目录;
- 窃取图象和视频文件格式;
- 监管GPS部位;
- 窃取SMS 消息;
- 窃取通讯记录;
- 窃取机器设备信息,例如安装的运用、机器设备名、储存数据等。
安装取得成功后,恶意软件可以推送搜集的信息精彩片段到Firebase C2网络服务器,包含储存数据、连接网络种类、是不是安装了别的运用,例如WhatsApp。
假如安卓手机系统有root 管理权限或打开了Accessibility Services,那麼监管恶意软件就可以立即搜集数据。除此之外,恶意软件还会继续扫描仪储存或缓存文件数据的外界储存,并对这种数据开展搜集,直到客户联接WiFi互联网后将其传递到C2 网络服务器。
掩藏和绕开
与别的窃取数据的恶意软件不一样,该恶意软件仅有当达到特殊条件后应用安卓系统的contentObserver和 Broadcast receivers才可以开启。达到的前提包含新创建手机联系人、新创建文字消息或安装新的运用。
从Firebase 消息服务项目接受到的指令会运行录制音频、窃取SMS消息等实际操作。Firebase 通讯只用于发号施令,有专业的C2网络服务器根据POST要求来收集窃取的数据。
当恶意软件接受到新的指令后,便会展现仿冒的"Searching for update.."系统升级通告,如下图所示:
仿冒的系统升级提示
该恶意软件还能够在菜单栏中隐藏图标来掩藏其存有。为进一步绕开检验,该恶意软件只窃取短视频和画面的缩图,因而可以降低受害人的网络带宽耗费以防止由于耗费网络带宽太高而被发觉。除此之外,该恶意软件只窃取近期的数据,搜集的部位数据和相片全是以往数分钟转化成的。
Zimperium详细技术性数据分析报告参照https://blog.zimperium.com/new-advanced-android-malware-posing-as-system-update/
文中翻譯自:https://www.bleepingcomputer.com/news/security/new-android-malware-spies-on-you-while-posing-as-a-system-update/倘若转截,请标明全文详细地址。