網(wǎng)絡(luò)安全領(lǐng)域近期出現(xiàn)一種名為"Gorilla"的新型安卓惡意軟件，專門設(shè)計用于攔截包含一次性密碼（OTP）的短信。

該惡意軟件在后臺隱蔽運行，通過濫用安卓權(quán)限系統(tǒng)獲取受感染設(shè)備的敏感信息。初步分析表明，Gorilla主要針對銀行客戶和Yandex等流行服務(wù)用戶，并對竊取的短信進行分類以便攻擊者利用。

技術(shù)實現(xiàn)機制

該惡意軟件利用READ_PHONE_STATE和READ_PHONE_NUMBERS等關(guān)鍵安卓權(quán)限，獲取SIM卡信息并讀取受感染設(shè)備的電話號碼。

安裝后，Gorilla通過WebSocket協(xié)議建立與C2（命令與控制）基礎(chǔ)設(shè)施的持久連接，連接格式為"ws://$URL/ws/devices/?device_id=$android_id&platform=android"，保持與操作者的持續(xù)通信。這種連接方式使惡意軟件能夠?qū)崟r接收指令并外泄敏感數(shù)據(jù)。

研究人員發(fā)現(xiàn)，Gorilla采用非常規(guī)技術(shù)規(guī)避檢測：避免使用需要REQUEST_INSTALLED_PACKAGES權(quán)限的getInstalledPackages或getInstalledApplications API，轉(zhuǎn)而查詢啟動器意圖來確定軟件包名稱、應(yīng)用名稱和版本信息，從而在保持低調(diào)的同時收集已安裝應(yīng)用信息。

攻擊目標與數(shù)據(jù)分類

惡意軟件的C2面板顯示其運作相當精密，竊取的短信被系統(tǒng)性地歸類為"銀行"和"Yandex"等標簽，表明其針對金融信息和流行服務(wù)的定向攻擊策略。這種分類使攻擊者能快速識別并利用攔截消息中的有價值驗證碼和敏感信息。

Gorilla通過一系列后臺服務(wù)保持持久運行，即使用戶未主動使用設(shè)備也能持續(xù)運作。為符合安卓要求，這些服務(wù)使用startForeground API和FOREGROUND_SERVICE權(quán)限顯示通知，將其惡意活動偽裝成合法系統(tǒng)進程。

技術(shù)分析：指令結(jié)構(gòu)與功能

該惡意軟件的指令結(jié)構(gòu)包含三種主要操作類型：

操作類型（來源：Catalyst）

• "device_info"指令：提取并傳輸受感染設(shè)備的詳細信息
• "update_settings"指令：當前僅記錄接收情況，但可能用于遠程配置惡意軟件行為
• "send_sms"指令：允許攻擊者從受感染設(shè)備向指定接收者發(fā)送自定義內(nèi)容的短信

// Gorilla惡意軟件中的指令處理結(jié)構(gòu)
// 三種主要指令類型：
device_info // 傳輸設(shè)備信息
update_settings // 當前未激活但記錄接收情況
send_sms // 允許遠程發(fā)送指定內(nèi)容的短信

潛在擴展功能

雖然當前主要利用短信攔截功能，但Gorilla包含的組件表明其功能可能進一步擴展。未使用的WebViewActivity類尤其值得關(guān)注，該組件通常用于渲染HTML內(nèi)容，銀行類惡意軟件常用其顯示仿冒頁面以竊取銀行憑證或信用卡信息。

惡意軟件還包含一個目前未激活的持久化機制USSDReceiver類，該組件設(shè)計用于監(jiān)聽"*#0000#"撥號代碼并在檢測到時啟動MainActivity。雖然當前未注冊激活，但該機制可能為攻擊者提供額外方法確保惡意軟件在被清除后仍能保持運行。