安全研究人員表示，一種強大的新型Android惡意軟件偽裝成關(guān)鍵的系統(tǒng)更新，可以完全控制受害者的設(shè)備，并竊取他們的數(shù)據(jù)。該惡意軟件被發(fā)現(xiàn)捆綁在一個名為 "系統(tǒng)更新 "的應(yīng)用中，必須在Android設(shè)備的應(yīng)用商店Google Play之外安裝。

[[390227]]

一旦用戶安裝后，該應(yīng)用就會隱藏并隱秘地將受害者設(shè)備中的數(shù)據(jù)發(fā)送到的自己控制的服務(wù)器。

發(fā)現(xiàn)該惡意應(yīng)用的移動安全公司Zimperium的研究人員表示，一旦受害者安裝了該惡意應(yīng)用，該惡意軟件就會與運營商的Firebase服務(wù)器進行通信，用于遠(yuǎn)程控制設(shè)備。

該惡意軟竊取了廣泛的數(shù)據(jù)，包括：

• 竊取即時通訊工具的信息
• 竊取即時通訊工具的數(shù)據(jù)庫文件(如果有root權(quán)限)
• 檢查默認(rèn)瀏覽器的書簽和搜索
• 檢查谷歌瀏覽器，火狐瀏覽器和三星瀏覽器的書簽和搜索歷史
• 搜索特定擴展名的文件(包括.pdf、.doc、.docx和.xls、.xlsx)
• 檢查剪貼板數(shù)據(jù)
• 檢查通知的內(nèi)容
• 錄制音頻
• 錄制電話
• 定期拍照(通過前置或后置攝像頭)
• 列出已安裝的應(yīng)用程序
• 竊取圖像和視頻
• 監(jiān)視GPS位置
• 竊取短信
• 竊取手機聯(lián)系人
• 竊取通話記錄
• 竊取設(shè)備信息(如安裝的應(yīng)用程序、設(shè)備名稱、存儲統(tǒng)計)

與其他旨在竊取數(shù)據(jù)的惡意軟件不同，這個惡意軟件只有在滿足一些條件時才會利用Android的contentObserver和Broadcast接收器得到觸發(fā)，比如增加了新的聯(lián)系人、新的短信或安裝了新的應(yīng)用。

該間諜軟件還通過隱藏菜單中的圖標(biāo)來隱藏其在受感染的Android設(shè)備上的存在。

為了進一步逃避檢測，它只會竊取發(fā)現(xiàn)的視頻和圖片的縮略圖，從而減少受害者的流量消耗，避免引起他們對后臺數(shù)據(jù)外流活動的注意。

與其他批量收獲數(shù)據(jù)的惡意軟件不同，這款惡意軟件還會確保只外流最近的數(shù)據(jù)，收集最近幾分鐘內(nèi)創(chuàng)建的位置數(shù)據(jù)和拍攝的照片。

Zimperium首席執(zhí)行官Shridhar Mittal表示，該惡意軟件很可能是定向攻擊的一部分。

誘騙別人安裝惡意應(yīng)用是一種簡單且有效的方法，可以危害受害者的設(shè)備。這就是為什么安卓設(shè)備會警告用戶不要安裝應(yīng)用商店以外的應(yīng)用。

但許多舊設(shè)備并不能運行最新的應(yīng)用，迫使用戶依賴來自盜版應(yīng)用商店的舊版應(yīng)用。

來源：cnbeta