[[390197]]

Zimperium研究人員發(fā)現(xiàn)一款具有擴展的監(jiān)控功能的安卓惡意軟件，可以從受感染的安卓設備中竊取數(shù)據(jù)、消息和圖片，并控制安卓手機設備。

該惡意軟件以系統(tǒng)更新(System Update)研用的形式通過第三方的應用商店來進行安裝，但不會出現(xiàn)在谷歌官方應用商店中的。因此，極大地限制了能夠感染的設備數(shù)量，因為大多數(shù)有經(jīng)驗的用戶都不會安裝。此外，惡意軟件的傳播能力有限，因此無法感染其他的安卓設備。

功能：信息竊取

該惡意軟件具有遠程訪問木馬(RAT)的功能，可以收集和竊取信息到其C2 服務器。Zimperium分析發(fā)現(xiàn)，該惡意軟件的功能包括：

•  竊取即時消息應用中的消息;
•  如果系統(tǒng)root后，還可以竊取即時消息應用中的數(shù)據(jù)庫文件;
• 查看默認瀏覽器的書簽和搜索歷史;
• 查看Google Chrome、Mozilla Firefox、Samsung Internet Browser瀏覽器的書簽和搜索歷史;
•  搜索具有特定擴展的文件，比如.pdf、.doc、.docx、.xls和 .xlsx;
• 查看剪貼板數(shù)據(jù);
• 查看通知內(nèi)容;
•  錄制音頻;
•  對通話內(nèi)容進行錄音;
•  通過前置或后置攝像頭定時拍照;
•  列出安裝的應用列表;
•  竊取圖像和視頻文件;
•  監(jiān)控GPS位置;
• 竊取SMS 消息;
• 竊取通話記錄;
• 竊取設備信息，比如安裝的應用、設備名、存儲數(shù)據(jù)等。

安裝成功后，惡意軟件可以發(fā)送收集的信息片段到Firebase C2服務器，包括存儲數(shù)據(jù)、聯(lián)網(wǎng)類型、是否安裝了其他應用，比如WhatsApp。

如果安卓系統(tǒng)有root 權限或開啟了Accessibility Services，那么監(jiān)控惡意軟件就可以直接收集數(shù)據(jù)。此外，惡意軟件還會掃描存儲或緩存數(shù)據(jù)的外部存儲，并對這些數(shù)據(jù)進行收集，等到用戶連接WiFi網(wǎng)絡后將其傳輸?shù)紺2 服務器。

隱藏和繞過

與其他竊取數(shù)據(jù)的惡意軟件不同，該惡意軟件只有當滿足特定條件后使用安卓的contentObserver和 Broadcast receivers才可以觸發(fā)。滿足的條件包括新建聯(lián)系人、新建文本消息或安裝新的應用。

從Firebase 消息服務接收到的命令會啟動錄制音頻、竊取SMS消息等操作。Firebase 通信只用來發(fā)布命令，有專門的C2服務器通過POST請求來搜集竊取的數(shù)據(jù)。

當惡意軟件接收到新的命令后，就會展示偽造的"Searching for update.."系統(tǒng)更新通知，如下圖所示：

偽造的系統(tǒng)更新提醒

該惡意軟件還可以在菜單中隱藏圖標來隱藏其存在。為進一步繞過檢測，該惡意軟件只竊取視頻和圖像的縮略圖，因此可以減少受害者的帶寬消耗以避免因為消耗帶寬太高而被發(fā)現(xiàn)。此外，該惡意軟件只竊取最近的數(shù)據(jù)，收集的位置數(shù)據(jù)和照片都是過去幾分鐘生成的。

Zimperium完整技術分析報告參見https://blog.zimperium.com/new-advanced-android-malware-posing-as-system-update/

本文翻譯自：https://www.bleepingcomputer.com/news/security/new-android-malware-spies-on-you-while-posing-as-a-system-update/如若轉載，請注明原文地址。