Palo Alto Networks的安全专家发现一款新的Android木马,取名为SpyDealer,它能够窃取多达40款应用的数据,包括相当一部分微信、QQ、新浪微博、易信、飞信等用户群为中国人的应用,因此针对的主要是中国用户。病毒进入手机后会对手机进行root,root的成功率达25%,但即便无法成功root,它也可以通过其他手段收集数据。
多重手段窃取隐私这个所谓的“商业root软件”就是Baidu Easy Root。依托这款root软件,SpyDealer木马可以攻击的Android版本从2.2到4.4(涵盖25%的Android设备),可以说适配的范围非常广了。 root的目的有两个,一是驻足手机,二是更方便地窃取信息。 root手机后,恶意软件会注册两个广播接收器,接收设备启动以及网络连接状态变化的事件。 第一次运行时,恶意软件会从本地一个叫readme.txt的文件中获取配置信息,配置信息包括C&C IP地址信息、移动数据网络下做什么,Wi-Fi网络下做什么等。这份文件可以远程更新。 攻击者可以通过UDP, TCP和短信三种渠道作为C&C远程控制感染的Android设备,支持的命令超过50种。 注册了优先级比默认短信更高的广播接收器,SpyDealer就能监听用户收到的短信。 短信指令 另外,感染设备后,SpyDealer会在39568端口创建TCP服务器,用来通过UDP或TCP向远程服务器请求指令。 TCP指令 SpyDealer木马能够从目标设备收集大量信息,包括手机号、IMEI、IMSI、短信、彩信、联系人、设备账号、拨号记录、位置、连接到的Wi-Fi。还可以通过指定号码接听电话,或者进行通话录音、环境录音录像、拍照、监控位置以及截屏等。 除此之外,SpyDealer在root后会读取应用的数据文件,从而收集资料,被监控的应用包括微信、Facebook、WhatsApp、Skype、Line、Viber、QQ、Tango、Telegram、新浪微博、腾讯微博、Android本地浏览器、Firefox浏览器、欧朋浏览器, QQ邮箱、网易邮箱、139邮箱、189邮箱、淘宝、百度网盘、手机 YY、易信、飞信、人人、阿里旺信、快滴打车等。从这个列表我们也可以看出这款木马针对中国用户。 有一些应用会将数据加密放入数据库文件,针对这种情况,SpyDealer会使用Android的辅助功能,从屏幕上提取文字。在root后的设备上,黑客可以直接开启这项功能,而即便病毒无法root设备,还是可以提示用户进行开启,从而进一步窃取私密数据。 辅助功能配置文件 病毒依然活跃目前还不知道SpyDealer是通过什么方式传播的,但研究人员肯定并非通过Google Play Store传播的,对中国用户来说这并不是一个好消息,因为这样的话黑客应该使用了针对中国用户的传播方式,并且相比Google Play Store更不可控。 更可怕的是研究人员称,这款木马至今依然非常活跃,病毒作者仍然在持续开发改进。研究人员在1046个样本中发现的SpyDealer有三个版本,其中第一个版本可以追溯到2015年10月,而最后一个版本创建于2017年5月,也就是说SpyDealer已经存活长达18个月。
研究人员已经向Google Play Protect提交了相关信息,不过Google Play Protect的防护机制对中国用户也没有什么卵用。 *参考来源:SecurityWeek,本文作者:Sphinx,转载请注明来自FreeBuf.COM |