隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，移動(dòng)智能系統(tǒng)的逐步成熟，搭載著智能系統(tǒng)的手機(jī)、平板大量涌現(xiàn)，于是智能系統(tǒng)的重要組成部分App應(yīng)用火了。無(wú)論您使用的是手機(jī)還是平板電腦，或者其他設(shè)備，面對(duì)如此海量的App，在安裝和使用這些形形色色的App時(shí)是否想到過(guò)這樣的事情，一些App背后偷偷地在竊取著您的個(gè)人敏感隱私!

下面我們就來(lái)看看它們背后都做了哪些不可告人的秘密。

一、竊取，無(wú)處不在

1.1 盜取金融賬號(hào)信息

2013是互聯(lián)網(wǎng)金融開(kāi)始爆發(fā)的一年，針對(duì)這塊”肥肉”惡意應(yīng)用自然不甘寂寞。

當(dāng)點(diǎn)擊招商銀行登陸界面時(shí)，會(huì)跳轉(zhuǎn)到SocketDemo這個(gè)activity。

應(yīng)用進(jìn)入到SocketDemo這個(gè)activity，用戶(hù)輸入賬戶(hù)、手機(jī)號(hào)和密碼，點(diǎn)擊send按鈕，便會(huì)向”1891128940″號(hào)碼發(fā)送以上信息，從而盜取用戶(hù)賬號(hào)及密碼。

同時(shí)也發(fā)現(xiàn)有偽裝成支付寶，工商銀行，建設(shè)銀行，交通銀行等登錄界面，幾乎可以假亂真，實(shí)則后臺(tái)獲取賬號(hào)密碼等敏感信息并通過(guò)短信發(fā)送。

 

以獲取支付寶密碼為例，分別獲取支付寶賬號(hào)，密碼及支付密碼并以#號(hào)連接，之后base64加密再短信形式發(fā)送。

不僅僅是國(guó)內(nèi)，國(guó)外的銀行盜號(hào)也很?chē)?yán)重。

其中 Santander是一個(gè)西班牙銀行的名稱(chēng)，Clave de firma是西班牙語(yǔ)，翻譯后為：簽名密鑰。這個(gè)樣本的主要行為就是：

偽裝成銀行的在線口令生成器，誘騙用戶(hù)在Clave de firma下的控件內(nèi)輸入自己的銀行密碼，并隨機(jī)生成虛假的口令(mToken)顯示給用戶(hù)。這時(shí)用戶(hù)的銀行密碼通過(guò)短信和網(wǎng)絡(luò)的形式被泄露，并且在之后配合樣本，截取到銀行發(fā)送給用戶(hù)的手機(jī)驗(yàn)證碼，攻擊者可以在用戶(hù)完全不知情的情況下竊取用戶(hù)的銀行財(cái)富。#p#

1.2 盜取聊天應(yīng)用消息記錄

“聽(tīng)風(fēng)者”現(xiàn)實(shí)中的監(jiān)聽(tīng)，該應(yīng)用運(yùn)行界面及網(wǎng)站功能說(shuō)明，此軟件還有一個(gè)登錄后臺(tái)可查看聊天記錄

國(guó)外間諜應(yīng)用的功能更是有過(guò)之而無(wú)不及。

其中左圖為該程序運(yùn)行后的界面，右圖為后臺(tái)查看的一些社交或聊天應(yīng)用的消息。

如獲取whatsapp消息記錄

加強(qiáng)安全意識(shí)，增加安全防范，不要讓無(wú)形的”聽(tīng)風(fēng)者”讓你成為某某門(mén)的主角哦。#p#

1.3 盜取更多隱私

獲取短信記錄，如敏感的支付寶或銀行相關(guān)信息

獲取通話錄音、SMS信息、定位信息、環(huán)境錄音

獲取手機(jī)通話記錄

獲取SD卡文件列表。

獲取聯(lián)系人信息

沒(méi)有想不到，只有做不到，一旦中招，就沒(méi)有隱私可言了。知己知彼，接下來(lái)我們總結(jié)下這些間諜件的常用行為流程及功能，不要讓自己成為”肉雞”。#p#

二、控制方式

2.1 短信指令控制

家族：MguSpy.a

說(shuō)明：該程序運(yùn)行后進(jìn)行短信監(jiān)聽(tīng)，接收遠(yuǎn)程短信指令控制。

2.2 網(wǎng)絡(luò)指令控制

家族：Lien.d

說(shuō)明：連接惡意遠(yuǎn)程服務(wù)器，接收服務(wù)器指令控制

2.3 google云推送

家族：Tramp.a

說(shuō)明：其實(shí)該控制方式也屬于網(wǎng)絡(luò)的一種，只有不是直接由惡意遠(yuǎn)程服務(wù)器控制，而由google云服務(wù)器進(jìn)行指令發(fā)送，具有一定隱蔽性。

注冊(cè)google GCM監(jiān)聽(tīng)廣播

 

根據(jù)指令執(zhí)行相關(guān)操作。

#p#

三、隱私回傳方式

3.1 短信方式回傳

家族：Lurker.a

說(shuō)明：短信回傳操作簡(jiǎn)單，實(shí)用(只要手機(jī)還有話費(fèi)即可)。一般個(gè)人開(kāi)發(fā)的程序采用此種方式，當(dāng)然也有程序通過(guò)短信發(fā)送回執(zhí)信息，如指令招行成功與否。

發(fā)送短信記錄

發(fā)送通話記錄

3.2 網(wǎng)絡(luò)方式回傳

家族：VladoSpy.a

說(shuō)明：一般通過(guò)網(wǎng)絡(luò)回傳的間諜件，都有一個(gè)功能強(qiáng)大的后臺(tái)管理系統(tǒng)，進(jìn)行統(tǒng)一查看或管理。該類(lèi)間諜件一般功能強(qiáng)大，大都是要收費(fèi)的。

獲取設(shè)備信息

短信記錄

3.3 郵箱方式回傳

家族：Dd1d.e

說(shuō)明：通過(guò)郵箱發(fā)送用戶(hù)相關(guān)信息或程序安裝狀態(tài)等。

通過(guò)163郵箱進(jìn)行發(fā)送

已發(fā)送郵件

 

#p#

四、常見(jiàn)功能

典型功能：短信記錄，通話記錄，聯(lián)系人等。

4.1 獲取短信記錄

訪問(wèn)短信常見(jiàn)協(xié)議

4.2 獲取通話記錄

常用uri: CallLog.Calls.CONTENT_URI;

4.3 獲取聯(lián)系人信息

獲取聯(lián)系人uri: android.provider.ContactsContract.CommonDataKinds.Phone.CONTENT_URI, android.provider.Contacts.People.CONTENT_URI

 

4.4 通話錄音

常見(jiàn)的有通話或環(huán)境錄音

4.5 拍照

拍攝照片

#p#

五、借我一雙慧眼–識(shí)別間諜應(yīng)用

5.1 無(wú)圖標(biāo)或隱藏圖標(biāo)

無(wú)activity，安裝無(wú)圖標(biāo)，僅有廣播和服務(wù)。

首次安裝有圖標(biāo)，但下次運(yùn)行會(huì)隱藏圖標(biāo)的。

一般通過(guò)setComponentEnabledSetting API進(jìn)行隱藏圖標(biāo)。

5.2 激活設(shè)備管理器

AM注冊(cè)有激設(shè)備管理器，而又無(wú)圖標(biāo)或隱藏圖標(biāo)的。

5.3 短信監(jiān)聽(tīng)

會(huì)監(jiān)聽(tīng)短信，有攔截行為，同時(shí)會(huì)對(duì)短信內(nèi)容進(jìn)行判斷的，如*,#開(kāi)頭的，等不同于一般用戶(hù)發(fā)短信習(xí)慣的。

5.4 大量可疑權(quán)限

短信，聯(lián)系人，定位等大量可疑權(quán)限，同時(shí)包名又比較可疑的。

一般來(lái)說(shuō)同時(shí)擁有以下三種或以上權(quán)限很可疑。

 

 

5.5 郵件發(fā)送

有郵件發(fā)送代碼同時(shí)有大量可疑權(quán)限及服務(wù)。

#p#

5.6 包名偽裝系統(tǒng)服務(wù)

包名和程序名偽裝系統(tǒng)服務(wù)或應(yīng)用。

 

5.7 大量字串比較

字串比較一般用于指令的匹配。

如：startsWith

如：equals

5.8 字串表關(guān)鍵字

直接搜索字串表，看到很多敏感關(guān)鍵字的。

中文：指令，開(kāi)啟錄音，通話，上傳

英文：uploadgps,uploadrecord

其實(shí)明顯指令提示信息。

5.9 通話監(jiān)聽(tīng)

監(jiān)聽(tīng)撥打電話并對(duì)號(hào)碼進(jìn)行判斷的，所撥打號(hào)碼一般包含*,#等，不是用戶(hù)常規(guī)撥打號(hào)碼。

5.10 服務(wù)過(guò)多，activity較少。

5.11 查看包結(jié)構(gòu)

間諜軟件一般目地性較強(qiáng)，組織結(jié)構(gòu)較清晰，若包名中包含：call,contact,gps,record,server,task等較為可疑。

六、小結(jié)

間諜類(lèi)程序功能強(qiáng)大，一旦中招，個(gè)人將再無(wú)隱私可言，危害極大。同時(shí)還具有隱蔽性強(qiáng)(安裝無(wú)圖標(biāo)，僅啟動(dòng)服務(wù))，不易清除(激活設(shè)備管理器，防卸載)等特點(diǎn)。針對(duì)此類(lèi)間諜應(yīng)用，安天安全專(zhuān)家建議，養(yǎng)成安全意識(shí)，從知名站點(diǎn)下載應(yīng)用，未運(yùn)行此軟件用戶(hù)可直接清除。

同時(shí)可以下載AVL移動(dòng)安全團(tuán)隊(duì)AVL Pro對(duì)惡意應(yīng)用進(jìn)行查殺。