危机重现!间谍软件监控Android设备传感器

关注 2018-09-07 10:23:18 查看数 20840 ,评论数 0 资讯 漏洞分析
安全研究人员最近注意到出现了针对Android系统的一系列新型间谍软件,其功能不同以往且已初步实现攻击。 Android的新系列间谍软件通过其不同寻常的功能和原始操作吸引了安全研究人员的注意。被卡巴斯基的安全专家命名为BusyGasper的一款恶意软件,能够监控目标手机上的各种传感器。基于运动检测日志,它可以识别运行和停止其监控活动的适当时间。 在对其具体功能的分析过程中,研究人员注意到BusyGasper的一个独特的功能——计算出设备的运行速度。基于这些信息,该间谍软件可以确定受害者何时不使用手机,进而使手机即便处于活动状态时看起来好像仍处于待机模式。这让我们联想到在2015年,安全研究公司AVG曾发现一款同样狡猾的Android恶意软件,可以在用户关闭设备后继续拨打电话或拍照。为了实现这一目标,该恶意软件会故意模拟关机的过程,以便让受害人觉得设备“已经关机”了。也就是说,即便你看到了关机动画和屏幕变黑,但是手机其实仍然开着。在这一状态下,恶意软件会利用该手机将用户信息发送到第三方、录制通话呼叫、或者拍照。如此一来,你的设备几乎就成了监听你的间谍设备。 卡巴斯基的研究员Alexey Firsh分析认为,这次发现的这款间谍软件要想实现传感器监控功能,需要向手机下达这样的命令:“使设备静音,禁用键盘保护,关闭亮度,使用唤醒锁定并监听设备传感器”。 当受害者拿起电话并模拟按下Home按钮以最小化当前活动时,BusyGasper会立即运行禁用其后门操作的指令。

恶意软件检测到位置移动,中止监控活动

间谍软件还可以从其他传感器访问日志(如气温和气压),这可以为攻击者提供受害者行踪状况的更多信息。

攻击者并非惯犯

虽然BusyGasper自2016年以来处于活跃状态,但它的普及面并不广。看起来这次的攻击似乎并不是一个成熟的团队作案而是个人行为,在运行恶意软件活动方面经验尚且不足。 研究人员注意到,开发人员没有在间谍软件中实现加密组件,仅仅使用免费的公共FTP服务器(俄罗斯网络托管服务提供商Ucoz)进行命令和控制。

命令与控制服务器上的文件列表

通过命令与控制服务器进行数据搜索

命令和控制服务器包含带有命令和受害者标识符的文本文件。看起来间谍软件只感染了七部手机,但其中三部似乎是测试设备。

感染设备列表

恶意软件可以访问攻击者的电子邮件收件箱,在该收件箱中查找特定文件夹中的新命令和有效负载。它还通过该邮箱地址来泄露来自受损设备的数据。 Firsh还说道,电子邮件帐户中的信息包括受害者个人数据的大量缓存,以及来自IM应用程序的邮件。“收集到的其他数据包括银行短信,其中披露了一个余额超过1万美元的账户。但据我们所知,此次攻击活动幕后操作者无意偷窃受害者的钱财。”

键盘记录器记录方式发生变化

键盘记录功能已由BusyGasper攻击者以一种原始的方式进行执行操作。 首先,它记录屏幕上的所有点击并收集它们的坐标。接下来,通过将其位置与一组硬编码值进行匹配来确定字符。 安装后,它会在新窗口中创建一个TextView组件,该窗口能够显示文本。特定参数使得元素对用户不可见。

TextView布局参数

为了确保正确获取所有细节,键盘记录器还可以截取受害者点击区域的屏幕截图。将恶意软件传递给目标设备似乎是人工实现的,攻击者物理接触手机以以安装植入软件。由于没有鱼叉式网络钓鱼或其他常见载体的证据,因此这一说法目前还是得到了一些研究人员的支持。
交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...