網路交友詐騙圖的不是為了騙財騙色,這次是竊個資!不安裝指定的網路聊天軟體,立刻永久停止對話!
愛情騙局在網路上並不稀奇,網路交友詐騙(catfisher)以及西非網路犯罪分子都利用受害者的感情來詐騙金錢。但奇怪的是很少看到(也可能是很少被報出來)這手法被用在網路間諜活動。
趨勢科技在研究Patchwork網路間諜活動時偶然發現了Confucius(孔夫子)駭客集團,並且注意到有數個相似之處。比方說,他們的客製化惡意軟體內有相似的程式碼。Confucius駭客集團針對南亞各國的一些特定目標,如軍人和商人等。
Patchwork和Confucius是同一個組織嗎?後門程式的命令確實彼此類似。設定檔也具有相似的結構,而且這兩個組織使用的基礎設施也有所重疊。但我們認定它們為不同的組織,可能屬於同個社群,但有不同的目標和操作手法。Patchwork比較直截了當,主要是進行惡意軟體攻擊,而Confucius的手法則更加細膩,重度地依賴社交工程。
聊天軟體帶有後門程式,默默蒐集簡訊等個資
在探索Confucius的基礎設施時,趨勢科技看到提供Windows和Android版本聊天軟體的網站,很可能是其前身Simple Chat Point的改版:Secret Chat Point和Tweety Chat。
儘管這聊天軟體確實具備聊天功能(雖然通訊並非匿名,如同所宣傳的那樣),但它們還帶有後門程式和檔案竊取能力,只要送入關鍵字就會觸發:收集所有的簡訊、聯絡人和帳號。Tweety Chat的Android版本也可以錄音。其最新版本可以讓設備靜音(關閉響鈴和振動),並且同步通話記錄和簡訊。
我們進一步測試了Tweety Chat,可以看出他們所感興趣的目標:驗證電子郵件的通訊地址郵遞區號屬於首都時,在登錄時也會出現在Tweety Chat的一個聊天頻道。
圖1:Tweety Chat介面(上)及顯示它所竊取檔案類型的程式碼(下)
銀行木馬程式 DOWNAD (又名 CONFICKER,趨勢科技命名為 DOWNAD 家族) 
