Google Play上的间谍软件分析

趋势科技研究人员发现了一种间谍软件(检测为ANDROIDOS_MOBSTSPY),它伪装成合法的Android应用程序来收集用户的信息。2018年这些应用程序可在Google Play上下载,其中一些应用程序下载次数已经超过100,000次。

研究人员最初研究的应用之一是游戏Flappy Birr Dog,如下图所示。其他应用程序包括FlashLight、HZPermis Pro Arabe、Win7imulator、Win7Launcher和Flappy Bird。自2018年2月以来,其中六分之五的应用程序已从Google Play上下架。截至撰写时,Google已经从Google Play中删除了所有这些应用程序。

Google Play上的间谍软件分析

Flappy Birr Dog下载页面

信息窃取

MobSTSPY能够窃取用户位置、短信对话、通话记录和剪贴板信息等信息。它使用Firebase Cloud Messaging将信息发送到其服务器。

恶意软件启动后,将首先检查设备的网络可用性。然后,它从其C&C服务器读取并解析XML配置文件。

Google Play上的间谍软件分析

从C&C服务器获取配置文件示例

然后,恶意软件会收集设备的某些信息,例如所使用的语言、注册国家/地区、软件包名称、设备制造商等。下图可以看到它窃取的所有信息。

Google Play上的间谍软件分析

窃取信息示例

它将收集到的信息发送到其C&C服务器,从而注册设备。完成后,恶意软件将等待并执行其C&C服务器通过FCM发送的命令。

Google Play上的间谍软件分析

来自C&C的Parse命令

根据恶意软件收到的命令,它可以窃取SMS会话、联系人列表、文件和通话记录,如下面后续图表中的命令所示。

Google Play上的间谍软件分析

窃取SMS会话

Google Play上的间谍软件分析

窃取联系人列表

Google Play上的间谍软件分析

窃取通话记录

恶意软件甚至能够窃取、上传设备上的文件,并且只要它收到相应的命令。

Google Play上的间谍软件分析

窃取目标文件

Google Play上的间谍软件分析

上传文件

网络钓鱼功能

除了信息窃取功能外,该恶意软件还可以通过网络钓鱼攻击收集其他凭据。它能够显示虚假的Facebook和谷歌弹出窗口,然后针对用户的帐户详细信息进行网络钓鱼。

Google Play上的间谍软件分析

网络钓鱼行为

如果用户输入了凭据,就会弹出登录失败的页面。此时恶意软件已经窃取了用户的凭据。

Google Play上的间谍软件分析

虚假Facebook登录页面

用户分布

使这个案例变得有趣的部分原因在于其应用程序的分布范围。通过趋势科技的后端监控和深入研究,研究人员发现了受影响用户的分布范围,总共来自 196个不同的国家。

Google Play上的间谍软件分析

受影响用户数量最多的国家

其它受影响的国家包括莫桑比克、波兰、伊朗、越南、阿尔及利亚、泰国、罗马尼亚、意大利、摩洛哥、墨西哥、马来西亚、德国、伊拉克、南非、斯里兰卡、沙特阿拉伯、菲律宾、阿根廷、柬埔寨、白俄罗斯、哈萨克斯坦、坦桑尼亚、匈牙利等国。可以推测,这些应用程序的用户遍及全球。

解决方法

此案例表明,尽管现在我们的生活已经离不开各种各样的应用程序了,但在设备上下载应用程序时仍然必须保持警惕。应用程序的普及诱使网络犯罪分子继续开发利用它们窃取信息获发起其它攻击活动。此外,用户还可以安装全面的网络安全解决方案,以保护其移动设备免受移动恶意软件的侵害。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/tech/133885.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code