本周,Zimperium zLabs 的研究人员对外发出警告,提醒 Android 用户注意一款复杂的新型恶意软件。
这个新的恶意软件会将自己伪装成用于系统更新(System Update)的应用程序,诱骗用户下载。一旦用户下载了该恶意软件,该软件就会窃取数据、信息、照片并控制 Android 手机,不仅可以窃取用户设备上已有的数据,黑客还可以偷偷录制音频和通话、拍摄照片和访问用户地理位置等。
经过调查,研究人员发现这个假冒的"System Update"是一个功能极其复杂的恶意软件,并且通过向 Google 确认,该应用仅在第三方应用商店上架,从未在 Google Play Store 上出现过。
该移动应用程序对 Android 设备构成威胁,其功能是作为远程访问木马(RAT)接收并执行命令,收集和上传各种数据,并执行如下的各种恶意行为:
安装后(来自第三方商店,而不是 Google Play Store),设备的详细信息会被注册到 Firebase 命令和控制(Command and Control,C&C)服务器端,其中会包括是否存在 WhatsApp、电池电量百分比、存储状态、从 Firebase 消息传递服务接受到的 token 以及网络连接的类型。
该恶意软件有"update" 和 "refreshAllData"两个选项用于更新设备信息,两者的区别在于, "update "仅收集设备信息并发送给 C&C,而"refreshAllData"还会生成一个新的 Firebase 令牌并进行数据外泄。获取受害者的网络连接类型是因为在使用 Wi-Fi 时,所有窃取数据都会被发送到 C&C,而当受害者在使用移动数据连接时,只有特定的一组数据被发送到 C&C。
通过 Firebase 消息服务接收到的命令会启动设备上的一些功能,在此过程中 Firebase 通信只用于发布命令,专用的 C&C 服务器通过 POST 请求来收集窃取的数据。
恶意软件将收集的内容作为加密的 ZIP 文件上传到 C&C 服务器,一旦收到 C&C 服务器接收上传文件“成功”的响应后,便会在本地删除文件。
该恶意软件还十分关注收集数据的“新鲜度”,会自动抛弃特定时间之前的老旧数据。例如,从 GPS 或网络(以较新的为准)收集位置数据,如果此最新值距离收集信息的时间已超过 5 分钟,则它会决定再次从头开始收集和存储位置数据。使用设备的相机拍摄的照片也是如此,它只会上传 40 分钟以内的数据。
如果用户对设备进行了 root,则间谍软件还会通过从 WhatsApp 中复制文件来窃取 WhatsApp 数据库文件。
Zimperium 研究人员认为,从窃密手法多样性及躲避侦测的技巧来看,这个间谍软体能力可谓罕见。目前 Zimperium 也已经公布了 C&C 服务器地址,以供安全人员侦测。
C&C 服务器:
本文转自OSCHINA
本文标题:新型 Android 恶意软件冒充为"系统更新"窃取用户数据
本文地址:https://www.oschina.net/news/135223/android-malware-posing-as-system-update
新闻名称:新型Android恶意软件冒充为"系统更新"窃取用户数据
文章链接:http://www.shufengxianlan.com/qtweb/news29/340079.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联