俄罗斯国防承包商在野外发现的新安卓间谍软件

配音单色，移动远程访问特洛伊木马至少自2016年3月以来一直在积极针对Android手机，主要用于针对少数人的高针对性攻击。

Lookout的安全研究人员称，Monokle拥有广泛的间谍功能，并使用先进的数据过滤技术，甚至不需要根用户访问目标设备。

Monokle监控恶意软件有多糟糕

特别是，恶意软件滥用安卓易访问性服务，通过在任何时间点读取设备屏幕上显示的文本，从大量流行的第三方应用程序中过滤数据，包括谷歌文档、Facebook messenger、Whatsapp、微信和Snapchat。

该恶意软件还提取用户定义的预测文本词典，以“了解目标感兴趣的主题”，并试图在屏幕解锁事件期间记录手机屏幕，以泄露手机的PIN、模式或密码。

此外，如果根访问可用，间谍软件会将攻击者指定的根CA证书安装到受损设备上的受信任证书列表中，从而使攻击者能够通过中间人（MiTM）攻击轻松拦截受SSL保护的加密网络流量。

Monokle的其他功能包括：

• 跟踪设备位置
• 录音和通话
• 制作屏幕录音
• 键盘记录器和设备指纹
• 检索浏览和通话记录
• 拍摄照片、视频和截图
• 检索电子邮件、短信和消息
• 窃取联系人和日历信息
• 代表受害者打电话和发短信
• 如果可以使用root访问权限，则以root身份执行任意shell命令

Monokle总共包含78个不同的预定义命令，攻击者可以通过短信、电话、通过POP3和SMTP的电子邮件交换以及入站/出站TCP连接发送这些命令，指示恶意软件过滤请求的数据，并将其发送给攻击者的远程命令和控制服务器。

间谍软件伪装成PornHub和谷歌安卓应用

研究人员称，攻击者通过仿冒的应用程序分发Monokle，这些应用程序看起来就像Evernote、Google Play、Pornhub、Signal、UC浏览器、Skype和其他流行的Android应用程序。
这些应用中的大多数甚至包括合法功能，防止目标用户怀疑这些应用是恶意的。

此外，Monokle的一些最新样本甚至与暴露的模块捆绑在一起，这些模块允许恶意软件定制一些系统功能，最终扩展其在进程列表中挂钩和隐藏存在的能力。

该恶意软件包在其资产文件夹中使用了一个DEX文件，“包括开源库“spongycastle”中实现的所有加密功能、各种电子邮件协议、所有数据的提取和过滤、使用Thrift协议对数据进行序列化和反序列化，以及根和挂钩功能等。”

新的安卓恶意软件及其功能让我们想起了强大的监控恶意软件Pegasus，该软件由总部位于以色列的NSO集团为苹果iOS和谷歌安卓设备开发。

然而，与俄罗斯间谍软件Monokle不同，Pegasus具有强大的零日攻击功能，可以在目标设备上安装间谍软件，几乎没有用户交互。

从墨西哥到阿拉伯联合酋长国，Pegasus曾被用来攻击人权活动人士和记者，去年又被用来攻击大赦国际在沙特阿拉伯的一名工作人员。

俄罗斯国防承包商STC开发了Monokle恶意软件

Monokle由一家俄罗斯公司开发，名为特殊技术中心有限公司（STC）和#8212；一家为俄罗斯军方和其他政府客户生产无人机和射频（RF）设备的私人国防承包商。
据Lookout研究人员称，Monokle和STC的安卓安全套件Defender使用相同的加密证书进行数字签名，并且共享相同的命令和控制基础设施。

报告称：“与Defender应用程序通信的命令和控制基础设施也与Monokle示例通信。用于签署Android应用程序包的签名证书在Defender和Monokle之间也有重叠。”。

“Lookout的研究人员发现，在作者的开发和实现选择中，Monokle和STC生产的防御安全软件之间存在更多重叠。”

iOS的Monokle正在开发中

除了安卓系统，研究人员还发现了一些Monokle恶意软件样本，分析结果显示存在针对苹果设备的Monokle iOS版本，不过研究人员目前还没有发现任何迹象表明存在任何活跃的iOS感染。

恶意软件样本中的一些命令作为Android客户端的一部分似乎没有任何用途，可能是无意中添加的，这表明Monokle的iOS版本可能正在开发中。

这些命令包括用于钥匙链的iOS功能、iCloud连接、Apple iWatch加速计数据、iOS权限和其他iOS功能或服务。

据Lookout研究人员称，Monokle被用于针对东欧高加索地区少数人、对伊斯兰教和叙利亚Ahrar al-Sham激进组织感兴趣的个人，以及中亚国家和前苏联共和国乌兹别克斯坦的个人的高针对性攻击。