Tizi分析报告:针对非洲国家的后门间谍程序,专门窃取用户社交媒体APP上的敏感信息

背景介绍

谷歌威胁分析团队的工程师们不断的通过努力试图改善我们的系统,保护用户免受潜在的有害的应用程序(Potentially Harmful Applications,PHAs)的威胁。

一般来说,PHA的制作者都企图使他们开发的有害的应用程序尽可能的感染更多的设备。然而,也有一些PHA的制作者话费了大量的精力、时间和金钱,只针对特定的目标,企图在个别设备上创建和安装他们的有害应用程序。

本文所要介绍的Tizi就是专门特定目标开发出来的一种有害的应用程序,它是一种具有root能力的后门程序,出现在一些专门针对非洲国家的有针对性的网络攻击活动中,攻击范围包括:肯尼亚、尼日利亚和坦桑尼亚。

Tizi是什么?

Tizi是一个全功能的后门程序,具备间谍软件的功能,可疑从流行的社交媒体应用程序上窃取敏感数据。研究人员于2017年9月在进行设备扫描时发现了一个利用旧漏洞的、具备Root能力的可疑程序,利用发现的这一恶意程序跟踪到了Tizi恶意软件家族的应用程序,其中时间最长的一个恶意程序产生于2015年10月。Tizi APP的开发者创建了一个网站,利用社会媒体鼓励更多的用户从Google应用商城或第三方网站下载并安装Tizi应用程序。

下图是一个利用社交媒体平台推广Tizi应用程序的例子:

Tizi的活动范围

Tizi的工作机制

安全人员曾经分析到一些间谍软件或后门程序的样本,但是没有把它们关联起来。Tizi早期的变种中,不具备Root能力。但是自从获取的Root功能之后,Tizi就能够从诸如Facebook、Twitter、WhatsApp、Viber、Skype、LinkedIn 和Telegram 之类的流行社交媒体应用程序上窃取敏感信息。

被Tizi感染的设备,首先会将一个包含了设备GPS坐标的短信息发送到一个特定的号码,这也是恶意程序与C&C服务器取得联系的途径。随后恶意程序与C&C的通信通过普通的HTTPS协议,也有一些特殊的Tizi版本是通过MQTT消息协议与一个自定义的服务器进行联系的。后门程序包含了商业间谍软件的各种功能,如记录WhatsApp、Viber、Skype程序的通话录音、发送和接收短信、访问日历表/通话记录/联系人/照片/Wi-Fi的加密密钥、罗列设备上已安装的所有应用程序的信息。除此之外,Tizi还能够记录设备周围的声音、在用户无感知的情况下进行拍照(所拍摄的照片不会显示在设备的屏幕上)。

Tizi之所以能够root受感染的设备,是因为它利用了一些本地漏洞,被利用漏洞的漏洞包括:

CVE-2012-4220

CVE-2013-2596

CVE-2013-2597

CVE-2013-2595

CVE-2013-2094

CVE-2013-6282

CVE-2014-3153

CVE-2015-3636

CVE-2015-1805

这些漏洞大多都是一些关于旧的芯片组、设备和Android版本的安全漏洞。上文罗列出的漏洞在2016年4月或之后发布的设备上都打了安全补丁,并且大部分的设备在此之前就已经修复了这些漏洞。安装了安全补丁的设备能够限制Tizi的能力。Tizi在安装了安全补丁的设备上无法完成Root任务,因为想要Root设备需要存在一些可利用的漏洞。但是根据观察可知Tizi仍然会试图要求用户授予一些权限以便于执行某些操作,尤其是那些与读取和发送SMS消息、监视/重定向/防止拨通电话有关的功能。

事件响应

为了保护Android设备的用户,谷歌的安全团队采取了一系列的保护措施,包括禁用受影响的设备上的恶意应用程序;通知受感染设备的用户;暂停Tizi应用程序开发商的账户。

除此,还利用收集到的Tizi相关的信息和信号特征,更新了谷歌设备的保护程序,这些功能对所有用户开放,确保了可以充分的保护谷歌商城的用户和其他Android生态系统平台的覆盖率。

给用户的安全建议

通过调查,发现大约1300的设备受到了Tizi的影响。为了尽量避免你的设备受潜在的有害的应用程序和其他威胁的影响,推荐以下5个基本的安全建议:

  • 检查权限:留心那些有不合理权限要求的应用程序,例如,一个手电筒应用程序不需要获得“发送SMS消息”的权限;
  • 启用安全的屏幕锁定功能:选择一个便于记忆的、其他人很难猜到的PIN、模式或密码;
  • 及时更新设备:及时更新设备的安全补丁。Tizi利用了一些老的、公开的安全漏洞,所以,及时更新安全补丁,可以使得设备免受此类恶意软件的感染;
  • 使用谷歌商城保护称号或其他可靠的移动端安全软件;
  • 设置“寻找我的设备”功能:设置一下“Finding My Device”,因为你很可能会丢失自己的设备。

POCs

将收集到的Tizi样本上传到VirusTotal,以便于和安全社区进行分享,列表如下:

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/107317.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code