澳门新葡亰网址下载主要针对国内用户,安卓间谍软件监视QQ微信等40多款热门应用 – 间谍软件,微信,QQ – IT之家

by admin on 2020年4月9日

安全公司 Palo Alto Networks
的研究人员报告了一种主要在中国流行针对中国用户的恶意 Android
木马 SpyDealer,该恶意程序设计窃取
40 余款流行应用的数据。

IT之家7月9日消息近日,安全公司Palo Alto
Networks研究人员报告了一款名为SpyDealer的安卓恶意程序,该恶意程序设计窃取包括QQ、微信等在内的40多款热门应用的数据,主要针对国内用户。研究人员称,有证据显示该恶意程序能够通过被入侵的无线网络感染安卓手机

Palo Alto
Networks的安全专家发现一款新的Android木马,取名为SpyDealer,它能够窃取多达40款应用的数据,包括相当一部分微信、QQ、新浪微博、易信、飞信等用户群为中国人的应用,因此针对的主要是中国用户。病毒进入手机后会对手机进行root,root的成功率达25%,但即便无法成功root,它也可以通过其他手段收集数据。

研究人员已经通知了 Google ,但该恶意程序并非通过 Google Play
商店传播。研究人员称,有证据显示 SpyDealer
能通过被入侵的无线网络感染中国 Android 用户。一旦感染,它会利用商业 root
工具 Baidu Easy Root 获取设备的 root 权限,滥用 Android Accessibility
Service 功能从应用窃取敏感信息,大量收集用户信息,包括
IMEI、IMSI、SMS、MMS、联系人、账号、呼叫历史、位置、连接的 Wi-Fi
信息。

当SpyDealer成功感染后,它会利用Baidu Easy
Root工具获取设备的root权限,然后通过Android Accessibility
Service功能,从应用中大量获取包括IMEI、IMSI、SMS、MMS、联系人、账号、呼叫历史、位置、连接的WiFi信息等用户信息。

“Palo Alto
Networks的研究人员找到一款高级的Android恶意软件,我们把它命名为SpyDealer,它能够提取超过40款应用下的隐私信息,通过Android辅助功能窃取通讯软件中的隐私信息。SpyDealer会使用一款商业root软件获取root权限,通过它来进行随后的数据窃取。”Palo
Alto
Networks的分析称。

它还能自动响应特定号码,通过 UDP、TCP 和 SMS
渠道远程控制设备,能用麦克风和摄像头记录附近视频和音频,能拍照和屏幕截图。它能从
40
多款流行应用中提取个人信息,这些应用包括微信、Facebook、WhatsApp、Skype、Line、Viber、QQ、Tango、Telegram、新浪微博、腾讯微博、Android
Native Browser、Firefox Browser, Oupeng Brower、QQ
Mail、网易邮箱、淘宝、百度网盘、BBM、手机 YY、易信、飞信、人人,等等。

另外,该恶意程序还能够自动响应特定号码,通过UDP、TCP和SMS渠道远程控制设备,利用麦克风和摄像头记录音频和视频信息,并且能够进行屏幕截图。

多重手段窃取隐私

这个所谓的“商业root软件”就是Baidu Easy
Root。依托这款root软件,SpyDealer木马可以攻击的Android版本从2.2到4.4(涵盖25%的Android设备),可以说适配的范围非常广了。

root的目的有两个,一是驻足手机,二是更方便地窃取信息。

root手机后,恶意软件会注册两个广播接收器,接收设备启动以及网络连接状态变化的事件。

第一次运行时,恶意软件会从本地一个叫readme.txt的文件中获取配置信息,配置信息包括C&C
IP地址信息、移动数据网络下做什么,Wi-Fi网络下做什么等。这份文件可以远程更新。

攻击者可以通过UDP,
TCP和短信三种渠道作为C&C远程控制感染的Android设备,支持的命令超过50种。

注册了优先级比默认短信更高的广播接收器,SpyDealer就能监听用户收到的短信。

澳门新葡亰网址下载 1

短信指令

另外,感染设备后,SpyDealer会在39568端口创建TCP服务器,用来通过UDP或TCP向远程服务器请求指令。

澳门新葡亰网址下载 2

TCP指令

SpyDealer木马能够从目标设备收集大量信息,包括手机号、IMEI、IMSI、短信、彩信、联系人、设备账号、拨号记录、位置、连接到的Wi-Fi。还可以通过指定号码接听电话,或者进行通话录音、环境录音录像、拍照、监控位置以及截屏等。

除此之外,SpyDealer在root后会读取应用的数据文件,从而收集资料,被监控的应用包括微信、Facebook、WhatsApp、Skype、Line、Viber、QQ、Tango、Telegram、新浪微博、腾讯微博、Android本地浏览器、Firefox浏览器、欧朋浏览器,
QQ邮箱、网易邮箱、139邮箱、189邮箱、淘宝、百度网盘、手机
YY、易信、飞信、人人、阿里旺信、快滴打车等。从这个列表我们也可以看出这款木马针对中国用户。

有一些应用会将数据加密放入数据库文件,针对这种情况,SpyDealer会使用Android的辅助功能,从屏幕上提取文字。在root后的设备上,黑客可以直接开启这项功能,而即便病毒无法root设备,还是可以提示用户进行开启,从而进一步窃取私密数据。

澳门新葡亰网址下载 3

辅助功能配置文件

SpyDealer 的最早版本现身于 2015
年,目前仍然在活跃更新,最新版本是在五月释出的。

该恶意程序能够从40多款应用中获取个人信息,这些应用包括微信、QQ、新浪微博、QQ邮箱、网易邮箱、淘宝、百度网盘、手机YY等国内热门应用。

病毒依然活跃

目前还不知道SpyDealer是通过什么方式传播的,但研究人员肯定并非通过Google
Play
Store传播的,对中国用户来说这并不是一个好消息,因为这样的话黑客应该使用了针对中国用户的传播方式,并且相比Google
Play Store更不可控。

更可怕的是研究人员称,这款木马至今依然非常活跃,病毒作者仍然在持续开发改进。研究人员在1046个样本中发现的SpyDealer有三个版本,其中第一个版本可以追溯到2015年10月,而最后一个版本创建于2017年5月,也就是说SpyDealer已经存活长达18个月。

“截至2017年6月,我们已经捕捉到1046个SpyDealer样本。经过分析我们发现SpyDealer目前仍然在活跃更新。我们发现了三个版本:1.9.1,
1.9.2和1.9.3。自1.9.3开始,配置文件的内容和几乎所有常量字符串都经过了加密或者编码。”分析文章中称,“自1.9.3版本开始还引入了辅助功能窃取目标应用的信息。根据我们的数据,大部分的木马的应用名称都是GoogleService或者GoogleUpdate,最近的样本创建于2017年5月,而最久的可以追溯到2015年10月,也就是说SpyDealer已经存活长达18个月。”

研究人员已经向Google Play Protect提交了相关信息,不过Google Play
Protect的防护机制对中国用户也没有什么卵用。

*参考来源:SecurityWeek,本文作者:Sphinx,转载请注明来自FreeBuf.COM

来自:Solidot奇客

SpyDealer最早现身于2015年,目前仍然在更新,最新版本在5月份释放出来。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图