雷鋒網(wǎng)注：本文部分內(nèi)容和數(shù)據(jù)節(jié)選自騰訊安全反詐騙實(shí)驗(yàn)室與騰訊手機(jī)管家近日發(fā)布的《2017年Android“間諜軟件”年度總結(jié)報(bào)告》。想了解更多網(wǎng)絡(luò)安全的內(nèi)容？歡迎關(guān)注雷鋒網(wǎng)旗下微信公眾號(hào)“宅客頻道”（微信ID：letshome）。

最近，雷鋒網(wǎng)宅客頻道編輯小李不小心看到了一些奇怪的信息：XX花了26塊在X寶買鑒貞服務(wù)測試男朋友，結(jié)果發(fā)現(xiàn)他已經(jīng)結(jié)婚半年了……

蛤？還有這種服務(wù)？點(diǎn)開詳情一看，原來是顧客雇傭客服妹子加上男友的社交軟件賬號(hào)進(jìn)行調(diào)戲測試。

【圖片來源：史上最賤喵】

知識(shí)就是力量，這些測試男友忠誠度的妹子們一定不知道比“客服妹子”更可怕的是間諜軟件，悄悄藏匿在人們的手機(jī)中，記錄人的一言一行。

“間諜軟件”通?？梢宰龅绞占芎φ叩亩绦拧⒙?lián)系人、通話記錄、通話錄音和網(wǎng)絡(luò)瀏覽記錄，或者遠(yuǎn)程開啟攝像頭和麥克風(fēng)，對(duì)目標(biāo)進(jìn)行監(jiān)聽和監(jiān)視。有些間諜軟件也可以竊取指定應(yīng)用的數(shù)據(jù)，如 Whatapp、Gmail、Skype、Facebook、Twitter 以及微信、QQ 等。

除了這些竊取隱私的“尋常間諜軟件”，更有一些用于 APT 攻擊的“間諜軟件”甚至可以做到傳播病毒和木馬，以受害人手機(jī)為基礎(chǔ)和跳板，進(jìn)一步攻擊最終目標(biāo)，這類攻擊非常復(fù)雜和冒險(xiǎn)，攻擊者往往需掌握著目標(biāo)系統(tǒng)的 0day 漏洞才能成功。

一項(xiàng)數(shù)據(jù)表明，Android 間諜軟件樣本數(shù)量近兩年呈上升趨勢，其中 2017 年較 2016年上漲約 20%。

當(dāng)然，這不是在教你干壞事。也許你已經(jīng)是受害者，那么，讓我們站在正義的一方，以批判性的態(tài)度看看 2017 年以來到底有哪些間諜軟件正在侵犯人們的隱私，謀取不正當(dāng)利益。

1、Chrysaor：攻擊多國活躍分子和記者

2017 年 4 月，Google 和 Lookout 的安全實(shí)驗(yàn)室報(bào)道了一款非常復(fù)雜的 Android“間諜軟件”， 這款“間諜軟件”名叫 Chrysaor，被攻擊者用來攻擊以色列、格魯吉亞、土耳其和墨西哥等國的活躍分子以及新聞?dòng)浾摺?/p>

據(jù)稱，這款“間諜軟件”很可能是出自色列間諜公司 NSO Group之手，此公司2016年曾利用 iOS 端的惡意“間諜軟件”Pegasus來攻擊阿聯(lián)酋人權(quán)活動(dòng)家。外界廣泛認(rèn)為，NSO Group可以制作出最先進(jìn)的移動(dòng)端“間諜軟件”，且他們可能將這些產(chǎn)品出售給他國政府、執(zhí)法機(jī)構(gòu)以及獨(dú)裁政權(quán)。

Chrysaor “間諜軟件”功能強(qiáng)大，不僅可以從手機(jī)的聊天軟件中竊取用戶的隱私數(shù)據(jù)，還可以通過手機(jī)的攝像頭和麥克風(fēng)來監(jiān)視用戶的一舉一動(dòng)。更重要的是，它還可以進(jìn)行自毀操作，而正是由于這款“間諜軟件”擁有非常智能的自毀機(jī)制，因此它在使用三年后才被研究人員發(fā)現(xiàn)。

Chrysaor“間諜軟件”具備以下幾種功能：

1.    從目前熱門的App中竊取數(shù)據(jù)，受影響的應(yīng)用包括Gmail、WhatsApp、Skype、Facebook、Twitter、Viber以及Kakao等。

2.    通過SMS短信來遠(yuǎn)程控制目標(biāo)設(shè)備。

3.    在后臺(tái)記錄實(shí)時(shí)視頻和語音信息。

4.    鍵盤記錄和屏幕截圖。

5.    禁用系統(tǒng)的自動(dòng)更新以防止設(shè)備漏洞被修復(fù)。

6.    通過自毀機(jī)制來躲避檢測。

Chrysaor“間諜軟件”擁有非常智能的自毀機(jī)制，當(dāng)它發(fā)現(xiàn)任何有可能威脅到自身的檢測行為時(shí)，它可以將自己從目標(biāo)設(shè)備中刪除。例如出現(xiàn)下面這幾種情況時(shí)，Pegasus 將會(huì)進(jìn)行自毀操作：

1.    SIM MCC ID無效；

2.    設(shè)備中存在與安全產(chǎn)品有關(guān)的文件；

3.    持續(xù)六十天無法與后臺(tái)服務(wù)器連接；

4.    接收到服務(wù)器發(fā)送過來的自毀命令；

Lookout 的研究人員認(rèn)為，Chrysaor “間諜軟件”可以通過基于 SMS 的釣魚信息來進(jìn)行傳播，就像 Pegasus 感染 iOS 設(shè)備一樣。且 Chrysaor 利用了名叫 Framaroot 的著名 Android 漏洞來 root 目標(biāo)設(shè)備并獲取設(shè)備的完整控制權(quán)，以便其從熱門的 App 中竊取數(shù)據(jù)。更重要的是，從 Chrysaor“間諜軟件”最初使用至今，NSO Group 很可能還發(fā)現(xiàn)了很多新的Android 0 day漏洞，并將相應(yīng)的漏洞利用代碼更新到了新版本的 Chrysaor“間諜軟件”之中。

2.Lipizzan 家族：偽裝成清理工具

2017 年 8 月，Google 披露了一款名為 Lipizzan 的 “間諜軟件”家族，此家族疑似由網(wǎng)絡(luò)武器公司 Equus Technologies 開發(fā)。 

Lipizzan的“間諜軟件”偽裝成具備清理功能、備份功能的應(yīng)用程序來吸引用戶下載安裝，并在后臺(tái)偷偷連接服務(wù)器，竊取用戶的電子郵件、短信、位置信息以及屏幕截圖等隱私數(shù)據(jù)。目前在谷歌應(yīng)用商店中發(fā)現(xiàn)有的 20 多款應(yīng)用屬于 Lipizzan 家族，感染用戶為國外小部分用戶，國內(nèi)用戶并未受到波及。

Lipizzan“間諜軟件”的攻擊的方式主要分為兩個(gè)階段：

第一階段：Lipizzan“間諜軟件”偽裝應(yīng)用市場上下載頻次比較高的應(yīng)用，比如偽裝成“Backup”或“Cleaner”等應(yīng)用程序，隱藏于各種APP下載渠道中，包括Google Play等應(yīng)用市場，等待用戶下載安裝。

第二階段：Lipizzan“間諜軟件”在安裝運(yùn)行后，能對(duì)被感染的設(shè)備進(jìn)行檢測，當(dāng)設(shè)備環(huán)境符合一定標(biāo)準(zhǔn)后獲取設(shè)備的root權(quán)限，對(duì)用戶的短信記錄、聯(lián)系人名錄、電子郵件甚至是一些知名APP的隱私數(shù)據(jù)等進(jìn)行收集，并在用戶毫無感知的情況下上傳至攻擊者服務(wù)器。

 

受 Lipizzan“間諜軟件”影響的應(yīng)用主要有：Gmail、Hangouts、KakaoTalk、LinkedIn、Messenger、Skype、Snapchat、StockEmail、Telegram、Threema、Viber和 Whatsapp等。

3.xRAT：其前身攻擊過香港抗議者

2017年9月，移動(dòng)安全公司 Lookout 的研究人員發(fā)布了一款復(fù)雜的“間諜軟件”xRAT的報(bào)告。報(bào)告指出，xRAT是之前攻擊過香港抗議者的間諜程序 Xsser mRAT 的新變種，新發(fā)現(xiàn)的 xRAT 與 mRAT 有著相同的代碼結(jié)構(gòu)、解密密鑰和命名約定，顯示它們由同一團(tuán)隊(duì)開發(fā)，此外xRAT 的指令控制中心還與 Windows 惡意程序有關(guān)，意味著這是一個(gè)跨平臺(tái)攻擊行動(dòng)。

xRAT 包含了很多先進(jìn)的功能，如動(dòng)態(tài)加載額外代碼，探測躲避、刪除指定應(yīng)用和文件、搜索特定應(yīng)用數(shù)據(jù)等，且攻擊者能實(shí)時(shí)的遠(yuǎn)程控制大部分功能。

xRAT“間諜軟件”還包含自我刪除功能，它的開發(fā)者會(huì)檢測設(shè)備上的反病毒應(yīng)用，并預(yù)警攻擊者，主要檢測的反病毒應(yīng)用類型有：

管家 (housekeeper)

清理 (Cleanup)

安全 (safety)

殺毒 (Antivirus)

權(quán)限 (Authority)

Defender

衛(wèi)士 (Guardian)

Security

此外，xRAT“間諜軟件”還有強(qiáng)大的文件刪除功能，能刪除感染設(shè)備上的大部分內(nèi)容或攻擊者指定的文件，xRAT能遠(yuǎn)程指定的刪除操作有：

刪除SDCard上的照片文件；

刪除SDCard上的音頻文件；

清空設(shè)備，刪除大部分內(nèi)容，包括SDCard上的所有內(nèi)容，/data/data下的應(yīng)用和數(shù)據(jù)，以及/system/app下的系統(tǒng)應(yīng)用；

刪除指定的輸入法應(yīng)用，如QQ拼音、搜狗輸入法等；

刪除指定的社交應(yīng)用，如微信、QQ、易信、Whatsapp等。

4、偽裝成彈窗的“間諜軟件”

17年12月，Android MediaProjection 服務(wù)被曝高危漏洞（CVE-2015-3878），馬上便有惡意開發(fā)者利用該漏洞開發(fā)惡意軟件竊取用戶信息。

MediaProjection服務(wù)是Google在Android 5.0中引入的，可以讓應(yīng)用開發(fā)者獲取屏幕內(nèi)容和記錄系統(tǒng)音頻。在Android 5.0之前，應(yīng)用開發(fā)者需要應(yīng)用在 root 權(quán)限下運(yùn)行或者用設(shè)備的 release key 對(duì)應(yīng)用進(jìn)行簽名，只有這樣才可以使用系統(tǒng)保護(hù)的權(quán)限來獲取屏幕內(nèi)容。

而Android 5.0在引入了 MediaProjection服務(wù)后，應(yīng)用只需通過intent請(qǐng)求系統(tǒng)服務(wù)的訪問權(quán)限，且不需要在 AndroidManifest.xml中聲明請(qǐng)求的權(quán)限。對(duì)系統(tǒng)服務(wù)的訪問是通過SystemUI的彈窗來提示用戶，讓用戶決定是否對(duì)想要獲取屏幕內(nèi)容的應(yīng)用授權(quán)。

攻擊者可以用偽裝消息來覆蓋SystemUI的彈窗提示，誘使用戶點(diǎn)擊并授權(quán)攻擊者的應(yīng)用獲取屏幕內(nèi)容。

此次發(fā)現(xiàn)的惡意程序啟動(dòng)后隱藏圖標(biāo)，后臺(tái)靜默運(yùn)行，利用屏幕錄制漏洞（CVE-2015-3878）針對(duì)安卓5.0-6.0系統(tǒng)的手機(jī)進(jìn)行屏幕截圖，并使用進(jìn)程保護(hù)技術(shù)，竊取用戶隱私，接收指定地址發(fā)送的控制指令。該程序主要行為如下：

隱藏程序圖標(biāo)，欺騙用戶隱藏行蹤；

通過屏幕錄制漏洞對(duì)屏幕持續(xù)截圖并上傳；

攔截短信，竊取用戶WiFi密碼等信息上傳到指定服務(wù)器；

獲取指定服務(wù)區(qū)下發(fā)的指令進(jìn)行遠(yuǎn)程控制。

5、GnatSpy ：連內(nèi)存用了多少都知道

17年12月，趨勢科技的安全研究人員發(fā)現(xiàn)一款新型移動(dòng)惡意軟件“GnatSpy”，據(jù)分析推測該惡意軟件與臭名昭著的威脅組織APT-C-23（“雙尾蝎”）有關(guān)。研究人員認(rèn)為，GnatSpy是“雙尾蝎”常用的VAMP移動(dòng)惡意軟件的變種，且比VAMP更加危險(xiǎn)。2016年 5 月至 2017 年 3 月，“雙尾蝎”組織瞄準(zhǔn)中東地區(qū)，對(duì)巴勒斯坦教育機(jī)構(gòu)、軍事機(jī)構(gòu)等重要領(lǐng)域展開了有組織、有計(jì)劃、有針對(duì)性的長時(shí)間不間斷攻擊，攻擊平臺(tái)主要包括Windows 與 Android。

GnatSpy的功能與VAMP的早期版本類似，但是GnatSpy添加了更多接收端和服務(wù)，賦予這款惡意軟件更多功能和模塊化設(shè)計(jì)，且新變種還大大增加了對(duì)Java注解和反射方法的運(yùn)用，以規(guī)避檢測。GnatSpy還能從被感染的設(shè)備獲取更多信息，包括 SIM卡狀態(tài)、電池、內(nèi)存和存儲(chǔ)使用情況。

研究人員表示，目前尚不清楚該組織如何將惡意文件傳播給受害者。一種猜測是，“雙尾蝎”組織將這些文件偽裝“安卓設(shè)置”或“Facebook更新”這類應(yīng)用發(fā)送給用戶，讓用戶誤以為這些文件是合法的成更新并下載安裝在自己的設(shè)備上。

研究人員稱，并未發(fā)現(xiàn)大量的此類應(yīng)用，這說該組織的攻擊限于具有針對(duì)性的特定組織或個(gè)人。

6、Skygofree：通過假移動(dòng)網(wǎng)絡(luò)運(yùn)營商網(wǎng)絡(luò)傳播

2018年1月，卡巴斯基實(shí)驗(yàn)室發(fā)布了一款強(qiáng)大的安卓監(jiān)控軟件 Skygofree 的分析報(bào)告，并認(rèn)為它出自活躍在監(jiān)控軟件市場上的一家意大利 IT 公司。

自 2014 年以來，安卓惡意軟件 Skygofree 暗中增長了很多新功能，包括使用設(shè)備麥克風(fēng)進(jìn)行基于位置的錄音、使用 Android Accessibility Services 竊取 WhatsApp 消息，以及將受感染設(shè)備連接到受攻擊者控制的惡意 Wi-Fi 網(wǎng)絡(luò)等。

目前 Skygofree 主要通過假冒移動(dòng)網(wǎng)絡(luò)運(yùn)營商的網(wǎng)絡(luò)作為傳播途徑。

 

【Skygofree”間諜軟件”的發(fā)展時(shí)間線】

去年10月，Skygofree 的最新變種可以通過漏洞 root 受害者設(shè)備，并開啟反向shell，接收來自C&C服務(wù)的控制指令，讓黑客可以完全遠(yuǎn)程控制受感染的安卓手機(jī)，竊取用戶隱私數(shù)據(jù)。

7.標(biāo)榜自己合法的商業(yè)間諜軟件

除了上述這些來勢兇猛的間諜軟件，還有一類特殊的間諜軟件：商業(yè)間諜軟件。

這類應(yīng)用大部分都定位為家長控制（parental control）、手機(jī)定位找回等工具，但其實(shí)際功能與惡意”間諜軟件”相差無幾，甚至更為強(qiáng)大。用戶甚至不用專門去暗網(wǎng)或地下論壇，直接在搜索引擎或應(yīng)用市場上搜索關(guān)鍵詞“android spy app、手機(jī)定位等”就能找到很多類似的應(yīng)用程序。

簡單來說，商業(yè)間諜軟件標(biāo)榜自己是“合理合法的軟件”，“光明正大”地出現(xiàn)在“推薦”上。所以，幾乎所有的商業(yè)”間諜軟件”應(yīng)用程序都是需要用戶手動(dòng)地安裝到目標(biāo)的設(shè)備上，這也是這類商業(yè)”間諜軟件”與傳統(tǒng)的惡意”間諜軟件”的根本差別所在。

你必須手工下載應(yīng)用程序、安裝并輸入購買后獲取到的激活憑證來運(yùn)行應(yīng)用。在此之后，安裝的間諜應(yīng)用程序就從設(shè)備上隱身了，整個(gè)安裝通常只需要幾分鐘的事件。其中一些商業(yè)“間諜軟件”還會(huì)利用設(shè)備的管理權(quán)限在目標(biāo)手機(jī)上獲得持久性和自我保護(hù)功能。

大多數(shù)商業(yè)化間諜軟都具有以下幾種功能：

竊取短信信息；

竊取電話信息（日志/錄音）；

GPS跟蹤；

竊取瀏覽器數(shù)據(jù)（歷史記錄/書簽）；

竊取手機(jī)上存儲(chǔ)的照片/視頻；

竊取通訊錄信息（包括電子郵件地址，甚至照片）

一個(gè)極有可能的潛在危害是——你以為只有你能看到伴侶的內(nèi)容，實(shí)際上這些信息被上傳到服務(wù)器上后，還可能夠被其他人獲得，造成數(shù)據(jù)泄露或其他不愉快的后果；最后，由于很多“間諜軟件”需要 root 權(quán)限，在設(shè)備上安裝這樣的應(yīng)用程序，會(huì)增大感染惡意軟件的風(fēng)險(xiǎn)。

一不小心，原以為只“牢牢盯住”家人的行為最終可能引發(fā)一場未知的災(zāi)難。

雷鋒網(wǎng)注：本文部分內(nèi)容和數(shù)據(jù)節(jié)選自騰訊安全反詐騙實(shí)驗(yàn)室與騰訊手機(jī)管家近日發(fā)布的《2017年Android“間諜軟件”年度總結(jié)報(bào)告》。想了解更多網(wǎng)絡(luò)安全的內(nèi)容？歡迎關(guān)注雷鋒網(wǎng)旗下微信公眾號(hào)“宅客頻道”（微信ID：letshome）。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。