Android SpyDealer木马能窃取超过40款应用数据,淘宝

Android SpyDealer木马能窃取超过40款应用数据,淘宝

Palo Alto Networks的安全专家发现一款新的Android木马,取名为SpyDealer,它能够窃取多达40款应用的数据,包括相当一部分微信、QQ、新浪微博、易信、飞信等用户群为中国人的应用,因此针对的主要是中国用户。病毒进入手机后会对手机进行root,root的成功率达25%,但即便无法成功root,它也可以通过其他手段收集数据。

“Palo Alto Networks的研究人员找到一款高级的Android恶意软件,我们把它命名为SpyDealer,它能够提取超过40款应用下的隐私信息,通过Android辅助功能窃取通讯软件中的隐私信息。SpyDealer会使用一款商业root软件获取root权限,通过它来进行随后的数据窃取。”Palo Alto Networks的分析称。

多重手段窃取隐私

这个所谓的“商业root软件”就是Baidu Easy Root。依托这款root软件,SpyDealer木马可以攻击的Android版本从2.2到4.4(涵盖25%的Android设备),可以说适配的范围非常广了。

root的目的有两个,一是驻足手机,二是更方便地窃取信息。

root手机后,恶意软件会注册两个广播接收器,接收设备启动以及网络连接状态变化的事件。

第一次运行时,恶意软件会从本地一个叫readme.txt的文件中获取配置信息,配置信息包括C&C IP地址信息、移动数据网络下做什么,Wi-Fi网络下做什么等。这份文件可以远程更新。

攻击者可以通过UDP, TCP和短信三种渠道作为C&C远程控制感染的Android设备,支持的命令超过50种。

注册了优先级比默认短信更高的广播接收器,SpyDealer就能监听用户收到的短信。

Android SpyDealer木马能窃取超过40款应用数据,淘宝

短信指令

另外,感染设备后,SpyDealer会在39568端口创建TCP服务器,用来通过UDP或TCP向远程服务器请求指令。

Android SpyDealer木马能窃取超过40款应用数据,淘宝

TCP指令

SpyDealer木马能够从目标设备收集大量信息,包括手机号、IMEI、IMSI、短信、彩信、联系人、设备账号、拨号记录、位置、连接到的Wi-Fi。还可以通过指定号码接听电话,或者进行通话录音、环境录音录像、拍照、监控位置以及截屏等。

除此之外,SpyDealer在root后会读取应用的数据文件,从而收集资料,被监控的应用包括微信、Facebook、WhatsApp、Skype、Line、Viber、QQ、Tango、Telegram、新浪微博、腾讯微博、Android本地浏览器、Firefox浏览器、欧朋浏览器, QQ邮箱、网易邮箱、139邮箱、189邮箱、淘宝、百度网盘、手机 YY、易信、飞信、人人、阿里旺信、快滴打车等。从这个列表我们也可以看出这款木马针对中国用户。

有一些应用会将数据加密放入数据库文件,针对这种情况,SpyDealer会使用Android的辅助功能,从屏幕上提取文字。在root后的设备上,黑客可以直接开启这项功能,而即便病毒无法root设备,还是可以提示用户进行开启,从而进一步窃取私密数据。

Android SpyDealer木马能窃取超过40款应用数据,淘宝

辅助功能配置文件

病毒依然活跃

目前还不知道SpyDealer是通过什么方式传播的,但研究人员肯定并非通过Google Play Store传播的,对中国用户来说这并不是一个好消息,因为这样的话黑客应该使用了针对中国用户的传播方式,并且相比Google Play Store更不可控。

更可怕的是研究人员称,这款木马至今依然非常活跃,病毒作者仍然在持续开发改进。研究人员在1046个样本中发现的SpyDealer有三个版本,其中第一个版本可以追溯到2015年10月,而最后一个版本创建于2017年5月,也就是说SpyDealer已经存活长达18个月。

“截至2017年6月,我们已经捕捉到1046个SpyDealer样本。经过分析我们发现SpyDealer目前仍然在活跃更新。我们发现了三个版本:1.9.1, 1.9.2和1.9.3。自1.9.3开始,配置文件的内容和几乎所有常量字符串都经过了加密或者编码。”分析文章中称,“自1.9.3版本开始还引入了辅助功能窃取目标应用的信息。根据我们的数据,大部分的木马的应用名称都是GoogleService或者GoogleUpdate,最近的样本创建于2017年5月,而最久的可以追溯到2015年10月,也就是说SpyDealer已经存活长达18个月。”

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/43183c0fe208d75d3f40f6cf3bc762cd.html