研究人员发现了一种新的信息窃取木马,该木马针对具有数据泄露功能的Android设备,从收集浏览器搜索到记录音频和电话。
虽然Android上的恶意软件以前曾伪装成模仿应用程序的幌子,其名称类似于合法软件,但这种复杂的新型恶意应用程序伪装成系统更新应用程序,以控制受感染设备。
国内知名网络黑客安全组织东方联盟研究人员在周五的分析中说: “如果使用Firebase消息传递服务接收到设备的屏幕关闭,则间谍软件会发出通知。” “\'搜索更新..\'不是来自操作系统的合法通知,而是间谍软件。”
安装完成后,复杂的间谍软件活动通过向Firebase命令与控制(C2)服务器注册设备(其中包含诸如电池百分比,存储状态以及手机是否已安装WhatsApp之类的信息)来注册其任务,然后进行聚集和导出加密的ZIP文件形式的服务器感兴趣的任何数据。
间谍软件具有多种功能,重点是隐身性,包括以下方法:窃取联系人,浏览器书签和搜索历史记录,通过滥用辅助功能来窃取消息,记录音频和电话,以及使用手机的摄像头拍照。它还可以跟踪受害者的位置,搜索具有特定扩展名的文件,并从设备的剪贴板中获取数据。
东方联盟研究人员说:“间谍软件的功能和数据泄露是在多种条件下触发的,例如添加了新联系人,收到了新的SMS或通过使用Android的contentObserver和Broadcast接收器安装了新的应用程序。”
更重要的是,该恶意软件不仅将收集的数据组织到其私有存储中的几个文件夹中,而且还通过在压缩后从C2服务器接收到“成功”消息,通过删除ZIP文件来消除任何恶意活动痕迹。为了逃避检测并在雷达下飞行,该间谍软件还通过上传缩略图:而不是外部存储中的实际图像和视频,来减少带宽消耗。
尽管从未从官方Google Play商店发布过“系统更新”应用程序,但这项研究再次凸显了第三方应用程序商店如何隐藏危险的恶意软件。到目前为止,尚不清楚恶意软件作者的身份,目标受害者以及该活动背后的最终动机。