作者:啟明星辰ADLab
1、概述
近期,啟明星辰AdLab追蹤到了一款新出現的Android間諜軟件,經過深入分析我們發現,其功能的豐富程度不亞於2016年發現的針對iOS平台的“Pegasus”,甚至具有非常大相似之處。與“Pegasus”一樣,該間諜軟件也是一款功能強大的間諜軟件,可實現遠程root提升到最高權限,並且實現了Android層的敏感信息竊取如靜默拍照錄音、竊取通訊錄、監聽短信電話、位置信息、收集WhatsApp、Skype、Facebook用戶信息及聊天數據等等,甚至實現了Linux層面的“反彈Shell”以達到其對目標設備的完全控制。此外,該間諜軟件同樣也被利用來追蹤特定目標人員。
依據樣本關聯分析,我們發現該Android間諜軟件相似樣本在1月16日被卡巴斯基所披露,並被其命名為Skygofree,該間諜軟件目前主要活躍在意大利的邊境上。通過對已有信息和樣本的分析,我們還發現與該間諜軟件相似的多個歷史版本中存在“Negg”公司的簽名;並且間諜軟件內多個內部組件中也同樣出現該公司名稱信息及縮寫。“Negg”(Negg International)公司為意大利一家小型軟件公司,其網站主頁就顯示有計算機證據收集的服務,在2015年該公司發布徵聘Android與IOS軟件工程師時就要求應聘者具備“惡意軟件的分析技術”,而正好這一年前後,該類間諜軟件最為活躍。該間諜軟件與“Negg”公司可能具有非常強的關聯關係,並有可能為該公司所開發。據安全研究人員推測,該公司開發該間諜軟件用於協助意大利執法部門抓捕犯罪嫌疑人。
目前發現的這款間諜軟件其最初版本創建於2014年,到2017年該類樣本已經過了3個階段的演進,從最開始的沒有root功能和竊取社交軟件數據庫功能到最新的從遠程服務器下載和釋放惡意負載,利用設備漏洞對感染設備進行root。卡巴斯基對該關聯樣本的root模塊和傳播方式進行了詳細分析,我們的分析重點則放在了該樣本Android端的各個服務和控制的邏輯部分。
2、間諜軟件行為簡介
該間諜軟件是目前所見到的Android平台上最為強大的惡意應用之一。其除了竊取受害用戶的短信、通訊錄、通話記錄和瀏覽歷史記錄等敏感信息外(其主要惡意行為見圖1),還具有以下幾個特點:
- 通過無障礙服務(無障礙服務是輔助身體不便或者操作不靈活的人來操作手機應用的,其可被用於監控手機當前活動APP界面,實現對目標界面自動化操作。)進行錄音。為了不被用戶發現,間諜軟件會在有用到麥克風資源的APP正在運行時停止錄音活動。對於Android 4.4W 之前的“HUAWEI”手機,其特別內置了包含“tencent”、“whatsapp”在內的多個頻繁使用麥克風的流行應用白名單。
- 利用Google Firebase 雲消息傳遞服務(Google Firebase 雲消息傳遞服務是Google提供的能幫助開發者快速寫出Web端和移動端應用通信的一種服務)對感染設備進行遠控。
- 下載執行反彈Shell。攻擊者在躲過普通防火牆的檢測並成功拿到反彈Shell后,可以對目標手機進行Linux層面的全面控制。
- 對感染設備進行定位、強制感染設備連接攻擊者所控制的wifi網絡,對感染設備進行上網流量嗅探和中間人攻擊。
- 竊取whatsapp、facebook、gmail等社交軟件的本地數據庫文件。攻擊者會利於這些數據對目標人群進行更加細緻深入的釣魚攻擊和數據分析,對用戶造成嚴重威脅。
啟明星辰積極防禦實驗室(ADLab)
ADLab成立於1999年,是中國安全行業最早成立的攻防技術研究實驗室之一,微軟MAPP計劃核心成員。截止目前,ADLab通過CVE發布Windows、Linux、Unix等操作系統安全或軟件漏洞近400個,持續保持國際網絡安全領域一流水準。實驗室研究方向涵蓋操作系統與應用系統安全研究、移動智能終端安全研究、物聯網智能設備安全研究、Web安全研究、工控系統安全研究、雲安全研究。研究成果應用於產品核心技術研究、國家重點科技項目攻關、專業安全服務等。
转载请注明:IAMCOOL » 首款利用Firebase雲消息傳遞機制的高級間諜軟件