會竊聽電話的 Hacking Team RCSAndroid 間諜工具

RCSAndroid 程式碼的外洩已讓它成為一項公開的商業間諜利器。行動使用者最好隨時掌握這項新聞的最新發展，並且隨時留意裝置是否有遭到監聽的跡象。可疑的跡象包括系統出現異常行為，例如：不正常重新開機、裝置上出現一些莫名其妙的應用程式、即時通訊軟體突然當掉等等。

一旦裝置遭到感染，這個後門程式必須有系統管理員 (root) 權限才能移除，使用者可能需要送回原廠來請他們重刷韌體才行。

繼新聞報導指出 iOS 裝置可能遭到 Hacking Team 間諜程式監聽之後，現在 Android 裝置也將遭殃。趨勢科技在 Hacking Team 資料外洩的檔案當中發現其開放原始碼惡意程式套件 RCSAndroid (Android 遠端遙控系統) 的程式碼，這是該公司所販賣的一項間諜工具。

RCSAndroid 工具的程式碼是至今曝光的所有 Android 惡意程式當中寫得最專業、最複雜工具之一。其程式碼的曝光，讓網路犯罪集團又多了一項新的利器可強化其間諜行動。

根據外洩的程式碼看來，RCSAndroid 應用程式具備下列10 個間諜能力：

透過「screencap」這個指令擷取螢幕抓圖，並可直接讀取螢幕緩衝區內容。
監看剪貼簿的內容。
蒐集 Wi-Fi 網路與各種網路帳號的密碼，如：Skype、Facebook、Twitter、Google、WhatsApp、Mail 及 LinkedIn。
利用麥克風錄音。
蒐集簡訊、多媒體簡訊與 Gmail 訊息。
蒐集定位資訊。
蒐集裝置資訊。
利用前、後鏡頭拍照。
蒐集聯絡人，解讀即時通訊訊息，如：Facebook Messenger、WhatsApp、Skype、Viber、Line、WeChat、Hangouts、Telegram 以及 BlackBerry Messenger。
攔截系統的 mediaserver 服務，即時錄下任何行動電話與 App 的語音通話。

網路上流傳的 RCSAndroid

根據趨勢科技的分析，這一版的 RCSAndroid (AndroidOS_RCSAgent.HRX) 從 2012 年開始便已在網路間流傳。在下列設定檔中可看到其先前在網路上的蹤跡：

它被設定連上一個位於美國的幕後操縱 (C&C) 伺服器，但該伺服器是向一家主機服務供應商採購的，現在已無法連上。

圖 1：設定檔中的 C&C 主機。

它設定成透過一個捷克電話號碼來發簡訊將它啟動。駭客會發送特定簡訊來啟動其代理程式並觸發特定動作。此外，也可以指定要蒐集什麼樣的資訊。

圖 2：設定檔中的捷克電話號碼

根據外洩的電子郵件顯示，電話號碼所屬的捷克公司顯然還與 Hacking Team 資料外洩有業務往來，包括奧運主辦單位合作的一家重要 IT 廠商。

圖 3：來自一家捷克客戶的升級支援請求

投下集束炸彈

RCSAndroid 的威脅就像集束炸彈一樣，會攻擊多個危險的漏洞並使用各種技巧來感染 Android 裝置。趨勢科技在分析程式碼的過程中發現，其整套系統包含四大部分：

滲透工具：經由簡訊/電子郵件或正常的 App 進入目標裝置。
低階原生程式碼：可突破 Android 安全架構的進階漏洞攻擊和間諜工具。
高階 Java 代理程式：此 App 的惡意 APK 檔案。
C&C 伺服器：用來從遠端發送/接收惡意指令。

駭客會利用兩種方法來引誘目標對象下載 RCSAndroid 程式。

第一種方法是透過簡訊或電子郵件發送一個特殊的網址給目標對象。此網址連上的網站會攻擊 Android 4.0 Ice Cream Sandwich 到 4.3 Jelly Bean 預設瀏覽器的 CVE-2012-2825 (讀取任意記憶體位置) 及 CVE-2012-2871 (記憶體緩衝區溢位) 兩個漏洞，進而讓駭客攻擊另一個可取得本地端管理員權限的漏洞。在取得系統管理員 (root) 權限之後，就會安裝一個 shell 後門程式和 RCSAndroid 代理程式的 APK 檔案。

圖 4：外洩資料當中給客戶的遠端漏洞攻擊說明

第二種方法是利用一個隱匿的後門 App 程式 (如 ANDROIDOS_HTBENEWS.A)，該程式可避開 Google Play 的機制。

ANDROIDOS_HTBENEWS.A 和第一種方法中提到的惡意 APK 檔案是用來攻擊 Android 裝置的一個本地端提升權限的漏洞。 Hacking Team 資料外洩過去就曾在攻擊行動當中利用 CVE-2014-3153 和 CVE-2013-6282 兩個漏洞。這兩個漏洞可破解 (root) 裝置，然後再安裝一個 shell 後門程式。

圖 5：shell 後門程式的指令清單

這個 shell 後門程式接著安裝 RCSAndroid 代理程式。此代理程式分成兩個模組：Evidence Collector (證據蒐集模組) 和 Event Action Trigger (事件動作觸發模組)。

Evidence Collector 模組負責執行前述的間諜行動，其中最重要的一項就是攔截「mediaserver」系統服務來即時擷取語音通話內容。基本上就是攔截 mediaserver 當中的語音通話執行程序。
- 以語音通話播放程序為例，mediaserver 會先建立一個新的非重複音軌，然後播放該音軌，再循環播放所有音訊緩衝區中的內容，最後停止播放。原始的WAVE音訊緩衝區內容可利用 getNextBuffer() 函式來擷取。藉由開放原始碼 Android Dynamic Binary Instrumentation Toolkit (動態二進位程式實作工具套件) 的輔助，再加上系統管理員 (root) 權限，駭客就能攔截任何函式的執行。

圖 6：語音通話播放攔截流程

Event Action Trigger 模組會根據某些特定事件來觸發惡意行為。這些事件的觸發條件包括：時間、充電或電池狀態、地理位置、連線狀態、執行中的 App、取得焦點的 App、SIM 卡狀態、收到包含特定關鍵字的簡訊以及螢幕開啟。
- 就設定檔中的內容來看，某些事件會觸發下列動作：
  1. 同步設定資料、升級模組、下載新的惡意程式 (透過 ZProtocol 傳輸協定並使用 AES/CBC/PKCS5Padding加密來與 C&C 伺服器通訊)。
  2. 上傳及清除蒐集到的證據。
  3. 重設鎖定密碼來破壞裝置。
  4. 執行 shell 指令。
  5. 發送特定內容或地點的簡訊。
  6. 關閉網路。
  7. 關閉 root。
  8. 解除安裝殭屍程式。

為了躲避偵測並防止記憶體中的代理程式 App 遭到移除，RCSAndroid 套件還會偵測模擬器和沙盒環境、利用 DexGuard 將程式編碼、利用 ELF 字串編碼器，並且篡改 OOM (記憶體不足) 狀態。有趣的是，該 App 程式還有一項未使用的功能是篡改 Android 封裝管理員 (package manager) 的資料來新增或移除某些權限和元件並隱藏 App 圖示。

建議

像 Android 這樣熱門的行動裝置平台一直是組織性或商業性間諜行動經常鎖定的目標。駭客深知，利用惡意程式來攻擊漏洞並破解 (root) 裝置，是取得裝置控制權、進而蒐集資訊的有效方法。裝置一旦經過破解，就等於毫無安全性可言。

請養成下列良好習慣來防止您的裝置遭到這項威脅：

不要允許安裝來源不明的應用程式。
隨時更新到最新的Android版本以防範漏洞，尤其，RCSAndroid 可影響的最高版本為 Android 4.4.4 KitKat。不過請注意，根據 Hacking Team 外洩的一封客戶詢問電子郵件，該公司正在開發可對應 Android 5.0 Lollipop 的程式碼。
安裝一套行動安全防護來保護您的裝置並防範威脅。

RCSAndroid 程式碼的外洩已讓它成為一項公開的商業間諜利器。行動使用者最好隨時掌握這項新聞的最新發展，並且隨時留意裝置是否有遭到監聽的跡象。可疑的跡象包括系統出現異常行為，例如：不正常重新開機、裝置上出現一些莫名其妙的應用程式、即時通訊軟體突然當掉等等。

一旦裝置遭到感染，這個後門程式必須有系統管理員 (root) 權限才能移除，使用者可能需要送回原廠來請他們重刷韌體才行。

趨勢科技的安全趨勢科技「安全達人」免費行動防護App( Android / iOS ) Android™ 行動安全防護即可防範這類攻擊。請參閱我們「七個您應立即採取的 Android 安全措施 (7 Android Security Hacks You Need to Do Right Now)」一文來保護行動裝置的資料安全。

原文出處：Hacking Team RCSAndroid Spying Tool Listens to Calls; Roots Devices to Get In| 作者：Veo Zhang (行動裝置威脅分析師) 上午 02:01 (UTC-7) | 作者：Veo Zhang (行動裝置威脅分析師)

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚