移動APP背后的秘密:間諜APP大閱兵
隨著移動互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,移動智能系統(tǒng)的逐步成熟,搭載著智能系統(tǒng)的手機、平板大量涌現(xiàn),于是智能系統(tǒng)的重要組成部分App應(yīng)用火了。無論您使用的是手機還是平板電腦,或者其他設(shè)備,面對如此海量的App,在安裝和使用這些形形色色的App時是否想到過這樣的事情,一些App背后偷偷地在竊取著您的個人敏感隱私!
下面我們就來看看它們背后都做了哪些不可告人的秘密。
一、竊取,無處不在
1.1 盜取金融賬號信息
2013是互聯(lián)網(wǎng)金融開始爆發(fā)的一年,針對這塊”肥肉”惡意應(yīng)用自然不甘寂寞。
當點擊招商銀行登陸界面時,會跳轉(zhuǎn)到SocketDemo這個activity。
應(yīng)用進入到SocketDemo這個activity,用戶輸入賬戶、手機號和密碼,點擊send按鈕,便會向”1891128940″號碼發(fā)送以上信息,從而盜取用戶賬號及密碼。
同時也發(fā)現(xiàn)有偽裝成支付寶,工商銀行,建設(shè)銀行,交通銀行等登錄界面,幾乎可以假亂真,實則后臺獲取賬號密碼等敏感信息并通過短信發(fā)送。
以獲取支付寶密碼為例,分別獲取支付寶賬號,密碼及支付密碼并以#號連接,之后base64加密再短信形式發(fā)送。
不僅僅是國內(nèi),國外的銀行盜號也很嚴重。
其中 Santander是一個西班牙銀行的名稱,Clave de firma是西班牙語,翻譯后為:簽名密鑰。這個樣本的主要行為就是:
偽裝成銀行的在線口令生成器,誘騙用戶在Clave de firma下的控件內(nèi)輸入自己的銀行密碼,并隨機生成虛假的口令(mToken)顯示給用戶。這時用戶的銀行密碼通過短信和網(wǎng)絡(luò)的形式被泄露,并且在之后配合樣本,截取到銀行發(fā)送給用戶的手機驗證碼,攻擊者可以在用戶完全不知情的情況下竊取用戶的銀行財富。#p#
1.2 盜取聊天應(yīng)用消息記錄
“聽風者”現(xiàn)實中的監(jiān)聽,該應(yīng)用運行界面及網(wǎng)站功能說明,此軟件還有一個登錄后臺可查看聊天記錄
國外間諜應(yīng)用的功能更是有過之而無不及。
其中左圖為該程序運行后的界面,右圖為后臺查看的一些社交或聊天應(yīng)用的消息。
如獲取whatsapp消息記錄
加強安全意識,增加安全防范,不要讓無形的”聽風者”讓你成為某某門的主角哦。#p#
1.3 盜取更多隱私
獲取短信記錄,如敏感的支付寶或銀行相關(guān)信息
獲取通話錄音、SMS信息、定位信息、環(huán)境錄音
獲取手機通話記錄
獲取SD卡文件列表。
獲取聯(lián)系人信息
沒有想不到,只有做不到,一旦中招,就沒有隱私可言了。知己知彼,接下來我們總結(jié)下這些間諜件的常用行為流程及功能,不要讓自己成為”肉雞”。#p#
二、控制方式
2.1 短信指令控制
家族:MguSpy.a
說明:該程序運行后進行短信監(jiān)聽,接收遠程短信指令控制。
2.2 網(wǎng)絡(luò)指令控制
家族:Lien.d
說明:連接惡意遠程服務(wù)器,接收服務(wù)器指令控制
2.3 google云推送
家族:Tramp.a
說明:其實該控制方式也屬于網(wǎng)絡(luò)的一種,只有不是直接由惡意遠程服務(wù)器控制,而由google云服務(wù)器進行指令發(fā)送,具有一定隱蔽性。
注冊google GCM監(jiān)聽廣播
根據(jù)指令執(zhí)行相關(guān)操作。
#p#
三、隱私回傳方式
3.1 短信方式回傳
家族:Lurker.a
說明:短信回傳操作簡單,實用(只要手機還有話費即可)。一般個人開發(fā)的程序采用此種方式,當然也有程序通過短信發(fā)送回執(zhí)信息,如指令招行成功與否。
發(fā)送短信記錄
發(fā)送通話記錄
3.2 網(wǎng)絡(luò)方式回傳
家族:VladoSpy.a
說明:一般通過網(wǎng)絡(luò)回傳的間諜件,都有一個功能強大的后臺管理系統(tǒng),進行統(tǒng)一查看或管理。該類間諜件一般功能強大,大都是要收費的。
獲取設(shè)備信息
短信記錄
3.3 郵箱方式回傳
家族:Dd1d.e
說明:通過郵箱發(fā)送用戶相關(guān)信息或程序安裝狀態(tài)等。
通過163郵箱進行發(fā)送
已發(fā)送郵件
#p#
四、常見功能
典型功能:短信記錄,通話記錄,聯(lián)系人等。
4.1 獲取短信記錄
訪問短信常見協(xié)議
4.2 獲取通話記錄
常用uri: CallLog.Calls.CONTENT_URI;
4.3 獲取聯(lián)系人信息
獲取聯(lián)系人uri: android.provider.ContactsContract.CommonDataKinds.Phone.CONTENT_URI, android.provider.Contacts.People.CONTENT_URI
4.4 通話錄音
常見的有通話或環(huán)境錄音
4.5 拍照
拍攝照片
#p#
五、借我一雙慧眼–識別間諜應(yīng)用
5.1 無圖標或隱藏圖標
無activity,安裝無圖標,僅有廣播和服務(wù)。
首次安裝有圖標,但下次運行會隱藏圖標的。
一般通過setComponentEnabledSetting API進行隱藏圖標。
5.2 激活設(shè)備管理器
AM注冊有激設(shè)備管理器,而又無圖標或隱藏圖標的。
5.3 短信監(jiān)聽
會監(jiān)聽短信,有攔截行為,同時會對短信內(nèi)容進行判斷的,如*,#開頭的,等不同于一般用戶發(fā)短信習慣的。
5.4 大量可疑權(quán)限
短信,聯(lián)系人,定位等大量可疑權(quán)限,同時包名又比較可疑的。
一般來說同時擁有以下三種或以上權(quán)限很可疑。
5.5 郵件發(fā)送
有郵件發(fā)送代碼同時有大量可疑權(quán)限及服務(wù)。
#p#
5.6 包名偽裝系統(tǒng)服務(wù)
包名和程序名偽裝系統(tǒng)服務(wù)或應(yīng)用。
5.7 大量字串比較
字串比較一般用于指令的匹配。
如:startsWith
如:equals
5.8 字串表關(guān)鍵字
直接搜索字串表,看到很多敏感關(guān)鍵字的。
中文:指令,開啟錄音,通話,上傳
英文:uploadgps,uploadrecord
其實明顯指令提示信息。
5.9 通話監(jiān)聽
監(jiān)聽撥打電話并對號碼進行判斷的,所撥打號碼一般包含*,#等,不是用戶常規(guī)撥打號碼。
5.10 服務(wù)過多,activity較少。
5.11 查看包結(jié)構(gòu)
間諜軟件一般目地性較強,組織結(jié)構(gòu)較清晰,若包名中包含:call,contact,gps,record,server,task等較為可疑。
六、小結(jié)
間諜類程序功能強大,一旦中招,個人將再無隱私可言,危害極大。同時還具有隱蔽性強(安裝無圖標,僅啟動服務(wù)),不易清除(激活設(shè)備管理器,防卸載)等特點。針對此類間諜應(yīng)用,安天安全專家建議,養(yǎng)成安全意識,從知名站點下載應(yīng)用,未運行此軟件用戶可直接清除。
同時可以下載AVL移動安全團隊AVL Pro對惡意應(yīng)用進行查殺。