标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
详情 | |||||||||||||
[SAFE-ID: JIWO-2024-1748] 作者: 对不起 发表于: [2018-08-26]
本文共 [473] 位读者顶过
一款Android手机间谍软件于8月22日发布,该软件具有广泛的、先进的监视功能,表示幕后操纵者已是老手。 [出自:jiwo.org] 不法分子利用最近发现的恶意软件Triout,追踪android智能手机不断延伸的足迹:持续增长的安装基础提供了一个丰富的攻击界面,不法分子将麦克风、摄像头和位置跟踪功能等功能转化为间谍能力。 根据Bitdefender分析,间谍软件的监视能力形成了一个宽阔的网络,收集了大量用户活动数据,并将其广播给攻击者控制的指挥控制(C&C)服务器。具体来说,仔细观察恶意软件会发现Triout记录用户作为媒体文件发出的每一次通话,然后与来电显示信息打包一并发送至C&C。它还记录每条收到的短信和发件人,捕捉用户拍摄的每一幅图片和视频,捕捉GPS坐标,记录所有通话记录(包括日期、时间、通话时长和来电显示),并将其发送给Triout操作者。 Bitdefender高级电子威胁分析师Bogdan Botezatu表示,“我们认为这是对部分人群的高度针对性攻击,大部分发起人都在以色列。我们还假设该应用程序针对几个关键的受害者进行间谍活动或数据收集。由于该应用程序可以记录电话通话并过滤短信息,我们认为无论谁获取信息,都有能力翻译并理解所收集的信息。用多种语言收集此类信息没有真正的商业价值,一个本地的攻击团队应该精通数十种语言,才能获得有价值的信息。 恶意软件最初被发现潜伏在一个应用程序中,重新打包看起来与一个名为“性游戏”的合法Android应用程序相同。它从2016年开始在Google Play商店中提供,但此后已被删除。
因为该应用程序已从Play商店中移除,故而很难估计恶意软件的传播情况,但Botezatu告诉媒体,威胁参与者可能正准备采取更加强大的攻势。他在接受采访时表示:“我们认为,攻击者现在找到了另一种传递机制,比如他们控制的网页。”“自发现以来,我们无法从我们的恶意程序库中分离出类似的文件,我们最初认为这个项目被放弃了。”然而,收集被恶意软件窃取的信息的指挥和控制C&C基础设施正在运行,并在5月份进行了更新。这让我们相信这个项目是可行的,但是样本是以一种可控的方式传播的,以防止它们落入安全研究人员的手中。我们的样本可能是在测试阶段上传到商店的代码的alpha版本。” 尽管恶意软件有隐藏自己的能力,但它并没有使用这个能力,这一事实有力证实了结论。在Bitdefender发现的示例中,只需解压缩.apk文件就可以完全访问源代码。这表明框架可能是一个正在进行的工作或测试阶段。Botezatu说:“虽然这个木马功能非常强大,能够记录和上传电话,使用摄像头,并进入Play商店,但是它的代码完全没有被混淆。我个人认为,我们可能是一个更大、更强大的间谍工具的alpha版本。” |