谷歌检测到间谍WhatsApp、Skype通话的Android间谍软件

谷歌Play Protect，一种安全功能，使用机器学习和应用程序使用分析来检查设备是否存在潜在的有害应用程序，最近帮助谷歌研究人员发现了一个新的欺骗性安卓间谍软件家族，该家族窃取了大量用户信息。

Tizi在非洲国家的目标设备上被发现，它是一款功能齐全的安卓后门，具有寻根功能，可以在受害者的设备上安装间谍软件应用程序，从Facebook、Twitter、WhatsApp、Viber、Skype、LinkedIn和Telegram等流行社交媒体应用程序中窃取敏感数据。

“谷歌Play Protect安全团队在2017年9月发现了这个家族，当时设备扫描发现了一个具有根功能的应用程序，利用了旧漏洞，”谷歌在一篇博客文章中说。“团队使用该应用程序在Tizi家族中找到了更多应用程序，其中最古老的应用程序是2015年10月发布的”。

大多数Tizi感染的应用程序都在社交媒体网站和第三方应用商店上做广告，诱骗用户安装它们。
安装后，外观无辜的应用程序将获得受感染设备的根访问权限，以安装间谍软件，然后间谍软件首先通过向特定号码发送带有受感染设备GPS坐标的短信联系其命令和控制服务器。

下面是Tizi如何在受感染的设备上获得根访问权限

为了获得root访问权限，后门利用了之前在旧芯片组、设备和Android版本中披露的漏洞，包括CVE-2012-4220、CVE-2013-2596、CVE-2013-2597、CVE-2013-2595、CVE-2013-2094、CVE-2013-6282、CVE-2014-3153、CVE-2015-3636和CVE-2015-1805。

如果由于修补了所有列出的漏洞，后门无法在受感染的设备上进行根访问，”它仍然会尝试通过要求用户授予它的高级别权限来执行一些操作，主要围绕阅读和发送短信以及监控、重定向和阻止传出电话，谷歌说。

Tizi间谍软件还被设计为通过常规HTTPS或使用MQTT消息协议与其命令和控制服务器通信，以接收来自攻击者的命令并上传被盗数据。

Tizi后门包含商业间谍软件常见的各种功能，例如

• 从Facebook、Twitter、WhatsApp、Viber、Skype、LinkedIn和Telegram等流行社交媒体平台窃取数据。
• 录制来自WhatsApp、Viber和Skype的通话。
• 发送和接收短信。
• 访问日历事件、通话记录、联系人、照片和已安装应用程序列表
• 窃取Wi-Fi加密密钥。
• 录制环境音频和拍照，而不在设备屏幕上显示图像。

到目前为止，谷歌已经确认了1300台受Tizi感染的安卓设备，并将其删除。
其中大部分位于非洲国家，特别是肯尼亚、尼日利亚和坦桑尼亚。

如何保护你的安卓设备免受黑客攻击？

这类安卓间谍软件也可用于针对您的设备，因此，如果您拥有安卓设备，强烈建议您遵循以下简单步骤，以保护自己：

• 确保您已经选择了Google Play Protect。
• 仅从官方Play Store下载和安装应用程序，并始终检查每个应用程序的权限。
• 从设置中启用“验证应用”功能。
• 使用pin码或密码锁保护您的设备，这样在无人看管的情况下，任何人都无法对您的设备进行未经授权的访问。
• 在不使用时禁用“未知源”。
• 让您的设备始终保持最新的安全补丁。