自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

新型 Android 惡意軟件冒充為"系統(tǒng)更新"竊取用戶數(shù)據(jù)

作者:Alias_Travis
安全
本周,Zimperium zLabs 的研究人員對外發(fā)出警告,提醒 Android 用戶注意一款復(fù)雜的新型惡意軟件。

本周,Zimperium zLabs 的研究人員對外發(fā)出警告,提醒 Android 用戶注意一款復(fù)雜的新型惡意軟件。

這個新的惡意軟件會將自己偽裝成用于系統(tǒng)更新(System Update)的應(yīng)用程序,誘騙用戶下載。一旦用戶下載了該惡意軟件,該軟件就會竊取數(shù)據(jù)、信息、照片并控制 Android 手機,不僅可以竊取用戶設(shè)備上已有的數(shù)據(jù),黑客還可以偷偷錄制音頻和通話、拍攝照片和訪問用戶地理位置等。

經(jīng)過調(diào)查,研究人員發(fā)現(xiàn)這個假冒的"System Update"是一個功能極其復(fù)雜的惡意軟件,并且通過向 Google 確認,該應(yīng)用僅在第三方應(yīng)用商店上架,從未在 Google Play Store 上出現(xiàn)過。

該移動應(yīng)用程序?qū)?Android 設(shè)備構(gòu)成威脅,其功能是作為遠程訪問木馬(RAT)接收并執(zhí)行命令,收集和上傳各種數(shù)據(jù),并執(zhí)行如下的各種惡意行為:

  • 竊取即時通訊工具的信息;
  • 竊取即時通訊工具數(shù)據(jù)庫文件(如果有 root 權(quán)限);
  • 檢查瀏覽器的書簽和搜索記錄;
  • 搜索特定后綴的文件(包括.pdf、.doc、.docx 和 .xls、.xlsx);
  • 檢查剪貼板數(shù)據(jù);
  • 檢查通知的內(nèi)容;
  • 錄制音頻;
  • 錄制電話;
  • 定期拍照(通過前置或后置攝像頭);
  • 列出已安裝的應(yīng)用程序;
  • 竊取圖像和視頻;
  • 監(jiān)視 GPS 位置;
  • 竊取手機聯(lián)系人;
  • 竊取通話記錄;
  • 竊取設(shè)備信息(如安裝的應(yīng)用程序、設(shè)備名稱、存儲統(tǒng)計);
  • 通過將圖標從設(shè)備的抽屜/菜單中隱藏起來來隱藏其存在。

安裝后(來自第三方商店,而不是 Google Play Store),設(shè)備的詳細信息會被注冊到 Firebase 命令和控制(Command and Control,C&C)服務(wù)器端,其中會包括是否存在 WhatsApp、電池電量百分比、存儲狀態(tài)、從 Firebase 消息傳遞服務(wù)接受到的 token 以及網(wǎng)絡(luò)連接的類型。

該惡意軟件有"update" 和 "refreshAllData"兩個選項用于更新設(shè)備信息,兩者的區(qū)別在于, "update "僅收集設(shè)備信息并發(fā)送給 C&C,而"refreshAllData"還會生成一個新的 Firebase 令牌并進行數(shù)據(jù)外泄。獲取受害者的網(wǎng)絡(luò)連接類型是因為在使用 Wi-Fi 時,所有竊取數(shù)據(jù)都會被發(fā)送到 C&C,而當受害者在使用移動數(shù)據(jù)連接時,只有特定的一組數(shù)據(jù)被發(fā)送到 C&C。

通過 Firebase 消息服務(wù)接收到的命令會啟動設(shè)備上的一些功能,在此過程中 Firebase 通信只用于發(fā)布命令,專用的 C&C 服務(wù)器通過 POST 請求來收集竊取的數(shù)據(jù)。

惡意軟件將收集的內(nèi)容作為加密的 ZIP 文件上傳到 C&C 服務(wù)器,一旦收到 C&C 服務(wù)器接收上傳文件“成功”的響應(yīng)后,便會在本地刪除文件。

該惡意軟件還十分關(guān)注收集數(shù)據(jù)的“新鮮度”,會自動拋棄特定時間之前的老舊數(shù)據(jù)。例如,從 GPS 或網(wǎng)絡(luò)(以較新的為準)收集位置數(shù)據(jù),如果此最新值距離收集信息的時間已超過 5 分鐘,則它會決定再次從頭開始收集和存儲位置數(shù)據(jù)。使用設(shè)備的相機拍攝的照片也是如此,它只會上傳 40 分鐘以內(nèi)的數(shù)據(jù)。

如果用戶對設(shè)備進行了 root,則間諜軟件還會通過從 WhatsApp 中復(fù)制文件來竊取 WhatsApp 數(shù)據(jù)庫文件。

Zimperium 研究人員認為,從竊密手法多樣性及躲避偵測的技巧來看,這個間諜軟體能力可謂罕見。目前 Zimperium 也已經(jīng)公布了 C&C 服務(wù)器地址,以供安全人員偵測。

C&C 服務(wù)器:

  • hxxps://mypro-b3435.firebaseio.com
  • hxxps://licences.website/backendNew/public/api/

本文轉(zhuǎn)自O(shè)SCHINA

本文標題:新型 Android 惡意軟件冒充為"系統(tǒng)更新"竊取用戶數(shù)據(jù)

本文地址:https://www.oschina.net/news/135223/android-malware-posing-as-system-update

責(zé)任編輯:未麗燕 來源: 開源中國
Android惡意軟件應(yīng)用程序
相關(guān)推薦

2021-03-31 10:34:14

網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全技術(shù)周刊

2023-08-30 23:15:07

2021-02-07 20:50:19

Chrome擴展數(shù)據(jù)

2023-07-06 15:08:29

2024-11-15 16:17:49

2023-07-11 07:43:22

2011-05-05 18:39:05

2020-08-04 10:27:26

Microsoft E數(shù)據(jù)泄漏隱私安全

2011-08-09 09:50:42

2024-01-26 16:23:38

漏洞數(shù)據(jù)泄露網(wǎng)絡(luò)安全

2024-12-30 10:36:34

2014-12-03 11:09:16

數(shù)據(jù)安全數(shù)據(jù)泄露移動安全

2022-11-24 13:57:28

2015-03-19 11:40:36

2020-12-23 10:52:25

網(wǎng)絡(luò)安全漏洞5G

2024-01-17 10:01:05

2021-04-09 09:02:00

惡意軟件Android劫持會話

2015-01-05 09:56:41

UDPLinux TCP

2009-09-02 21:16:40

2021-08-16 17:36:16

黑客數(shù)據(jù)泄露網(wǎng)絡(luò)安全
點贊
收藏

51CTO技術(shù)棧公眾號