卡巴斯基发布《Android商业间谍软件调查报告》:家长在选择监控软件时,应提防恶意的间谍软件

背景介绍

Android平台的商业间谍软件应用程序的影响范围越来越广泛,这类程序大部分都定位成了家长控制(parental control)工具,但实际上其功能基本上等同于间谍软件,只是安装方法有所不同。人们甚至不用专门去暗网或地下论坛,直接在Google搜索关键词“android spy app”就能看到一大堆类似的应用程序。

人们可能只需要花费几美元就可以购买到这类间谍软件,因此将它们称为“商业化的间谍软件”。

根据卡巴斯基的遥测数据显示,最近两年中,受可疑程序“not-a-virus:Monitor.AndroidOS.*. ”感染的用户数量有上升趋势。因此研究人员决定深入探讨一下这类备受争议的移动软件。

2016和2017年,受not-a-virus:Monitor.AndroidOS.*影响的用户数量

商业间谍软件的特征

几乎所有的商业间谍软件应用程序是需要用户手动地安装到自己的设备上,这也是这类软件跟传统的恶意间谍软件(如DroidJack 或 Adwind)的差别所在。用户必须手工的下载应用程序、安装并输入购买后获取到的激活凭证。在那之后,安装的间谍应用程序就隐身了,整个安装通常只需要几分钟的事件。

其中一些软件还会利用设备的管理权限在目标手机上获得持久性和自我保护功能。

那么,这类软件会对用户造成的具体危害与这些间谍软件的功能有关,统计数据显示大多数商业化间谍软都具有以下几种功能:

  • 窃取短信信息;

  • 窃取电话信息(日志/录音);

  • GPS跟踪;

  • 窃取浏览器数据(历史记录/书签);

  • 窃取手机上存储的照片/视频;

  • 窃取通讯录信息(包括电子邮件地址,甚至照片)

如果您对上述这些还没有什么概念的话,我们不妨来检查一些Android平台上流行的商业间谍软件的实际功能,拿这些所谓的监控软件与臭名昭著的间谍软件Pegasus和 Droidjack 进行对比。


*注释: Pegasus是由伊朗知名的NSO Group创建的间谍工具,常被用于APT攻击和政府机构的监听活动中。而Doidjack是一个远程控制工具,前一段时间的售价为210美元,允许攻击者远程安装并定制自己的C&C服务器。在欧洲某些国家,有几个使用Doidjack从事犯罪行为的用户被执法机构逮捕了,但Droidjack的制作者Sanjeevi却声称:“这款软件是一款Android平台的父母控制软件,目的是让给有需要的用户提供合法的帮助,如果有人违反软件的使用规则,会被取消使用资格。”


如上表所示,已知的先进的恶意间谍软件和一些商业化的监控软件之间的差别并不大,在某些情况下,监控软件甚至可以获取用户更多的隐私信息。

Exaspy就是一个特别有趣的案例。这是一个典型的需要得到用户许可才能运行的监控软件(用户安装了该软件后必须输入许可证才能开始监视活动):

后来,媒体爆出这款软件是一个专门针对企业高层管理人员的间谍软件,研究人员称某公司的副总裁是受害者之一,最终这款软件被认为是非法的。值得注意的是,很多类似的商业间谍软件,也存在同样的问题,或者说是隐患。

某些商业间谍软件的一些特殊功能(例如,监视社交媒体应用程序)只在一个被root过的设备上发挥作用,但这些软件所具有的功能仍然令人担忧,尤其是能够 “窃取社交媒体/ 及时通信数据”这一点。这意味着,这些间谍软件完全有能力攻击其他社交媒体或即时通信APP,例如Facebook、Viber、Skype、WhatsApp、等,攻击者能够监控设备使用者的通信,包括用户的社交媒体资料和其他个人资料。

这些商业间谍软件用来窃取数据的技术与标准的恶意间谍软件使用的技术相同,窃取数据的规模甚至有过之而无不及。下图展示了一个名为OneSpy的商业间谍软件攻击其他应用程序的部分代码片段:

如上图所示,OneSpy这款商业应用程序对所有流行的社交媒体和即时通信应用程序都很感兴趣,其他大多数商业间谍软件的情况也是如此。

这类软件是“合法的”

前文提到像Exaspy这些Android平台份商业间谍软件经调查确认为违法软件。但许多商业间谍软件应用程序仍然被认为是合法的,因为这些软件运营者在他们官网上介绍的那样,他们创建这些软件是因为 “人们需要这样的监控软件来帮助他们监视亲人、孩子、家庭或雇员”。

 

他们中的一些人声称他们的产品是“100%不可检测”。这可能是真实的肉眼,但绝对不是为我们的产品。运营商们还宣传他们的产品是“百分比隐蔽的”,不会被检测到。

我们认为商业间谍软件是危险的,主要基于以下几个原因:

  • 几乎所有的商业间谍软件都需要从软件供应商的网站进行下载,在安装之前会提示用户启用“允许安装第三方应用程序”的设置,但我们都知道禁用这条策略对设备的安全性至关重要,一旦开启将使得Android设备更加容易遭到恶意软件的攻击,此外这样做并不符合Google的官方安全策略

  • 一些间谍软件的功能只在已root的设备上工作,许多软件供应商会建议用户root自己的设备,这样做等同于为潜在的恶意软件打开了感染的大门,同时,这样做也是违反谷歌相关政策的。

  • 并非每个软件供应商都能很好的保护用户个人数据的安全,这不仅是指外部的黑客攻击,也包括了产品本身的安全性。

这里,想要着重强调以下最后一项,因为这种担心并不是多余的。安全研究人员在分析一个商业间谍软件应用程序的过程中,调查了供应商的官方网站和C&C服务器,很快获取到了服务器上的很多文件,都是应用程序收集到的用户的个人数据,这些用户的私密文件被存储在没有采取任何保护措施的服务器上,也就是说任何人都可以访问这些数据。

呃…说好的安全性呢?

结论

很多使用间谍软件应用程序的用户,原来是想要监视他们的家庭、亲人、孩子或下属的私生活,但是他们不知道的是,这些信息还能够被其他人获得。

总而言之,在自己或孩子的设备上安装这样的应用程序,存在会恶意软件感染的风险,手机上保存了我们的很多私密信息,我们谁都不希望出现数据泄露或其他不愉快的后果。

原创文章,作者:鹰小编,如若转载,请注明出处:http://www.mottoin.com/107254.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code