新的安卓恶意软件框架将应用程序变成强大的间谍软件
合法的安卓应用程序与名为Triout的恶意软件框架捆绑在一起,可以通过记录电话、监控短信、秘密窃取照片和视频以及收集位置数据来监视受感染的设备,所有这些都是用户不知道的。
5月15日,Bitdefender的安全研究人员首次发现了基于Triout的间谍软件应用程序,当时位于俄罗斯的某个人将该恶意软件的样本上传到VirusTotal,但大多数扫描来自以色列。
Bitdefender研究人员克里斯托弗·奥钦卡(Cristofor Ochinca)在周一发布的一份白皮书(PDF)中表示,他们分析的恶意软件样本被打包在一个Android应用程序的恶意版本中,该应用程序于2016年在谷歌Play上发布,但后来被删除。
恶意软件非常隐蔽,因为重新打包的安卓应用程序保持了原始应用程序的外观和感觉,功能与之完全相同,在本例中,研究人员分析了一款名为“性游戏”的成人应用程序欺骗受害者。
然而,在现实中,该应用包含一个恶意的Triout负载,该负载具有强大的监视功能,可以窃取用户的数据,并将其发送回攻击者控制的命令和控制(C&C)服务器。
据研究人员称,一旦Triout破坏了一个系统,它可以执行许多间谍操作,包括:
- 记录每个电话,以媒体文件的形式保存,然后将其与来电显示一起发送到远程C&;C服务器。
- 将收到的每条短信记录到远程C服务器。
- 将所有通话记录(包括姓名、号码、日期、类型和持续时间)发送至C服务器。
- 每当用户使用前置或后置摄像头拍摄照片或录制视频时,都会将每张照片和视频发送给攻击者。
- 能够在受感染的设备上隐藏自己。
但是,尽管该恶意软件功能强大,研究人员发现该恶意软件不使用模糊处理,这有助于研究人员仅通过解压APK文件,暗示恶意软件正在进行中。
“这可能意味着该框架可能正在开发中,开发人员正在测试功能和与设备的兼容性,”Ochinca说。
“截至本文撰写之时,应用程序似乎正在向其发送收集的数据的C&C(命令和控制)服务器似乎正在运行,并自2018年5月起运行”。
尽管研究人员无法找到这个重新打包版本的合法应用程序是如何分发的,以及它成功安装了多少次,但他们认为该恶意应用程序是由第三方应用商店或其他可能用于托管恶意软件的攻击者控制的域交付给受害者的。
Ochinca解释说,所分析的Triout样本仍然使用真实的Google调试证书签名。
当时,没有证据指向攻击者,也没有证据确定他们是谁以及他们来自哪里,但有一点是明确的,即攻击者拥有高超的技能和丰富的资源,可以开发一种复杂形式的间谍软件框架。
防止自己成为此类恶意应用的受害者的最佳方法是始终从可靠来源下载应用,如Google Play Store,并仅限于经过验证的开发者。
此外,最重要的是,在授予任何应用程序读取消息、访问通话记录、GPS坐标以及通过Android传感器获取的任何其他数据的权限之前,请三思而后行。
