安卓手機變成竊聽錄音機!駭客組織利用 PoriewSpy對 Android 用戶進行間諜攻擊

趨勢科技發現PoriewSpy惡意應用程式攻擊印度的安卓(Android) 使用者，發動攻擊的駭客團體先前曾對政府官員進行攻擊, 這些惡意應用程式自 2017 年底以來，就一直進行窺探和竊取資料的間諜攻擊事件。其背後的操作人員，可能與 2016 年發現的一個可疑網路間諜組織有關。

基於其命令及控制 (C&C) 伺服器的相似性，我們也懷疑，此駭客組織使用了以 DroidJack 或 SandroRAT (偵測為 ANDROIDOS_SANRAT.A) 建置的惡意應用程式。如果使用者的 Android 裝置安裝了這個遠端存取木馬程式 (RAT)，入侵者就能夠完全控制此裝置。

PoriewSpy 會將安卓裝置轉變成錄音機，用來竊取其他裝置的資訊

早在 2014 年，PoriewSpy 會竊取受害者裝置上的敏感資訊，例如簡訊、通話記錄、聯絡人、位置和 SD 卡檔案清單。PoriewSpy 也可以錄下受害者的語音通話內容。此惡意軟體是利用稱為 android-swipe-image-viewer 或 Android Image Viewer 的開放原始碼計畫所開發的，惡意軟體的操作人員修改了此計畫的程式碼，加入了下列元件：

圖 1：惡意軟體作者修改 Android Image Viewer 所加入的權限

圖 2：惡意軟體作者修改 Android Image Viewer 所加入的服務和接收器

隱藏圖示不被發現 每隔 60 秒即時錄音

PoriewSpy 應用程式會自動從使用者所造訪的惡意網站下載。當惡意應用程式啟動時，剛開始會顯示一位印度女演員的裸體照片，但之後就會將自己的圖示隱藏起來，不讓使用者看到。當使用者使用受感染的安卓裝置撥打電話時，此惡意軟體就會開始錄音，並將錄製的音訊檔儲存到 /sdcard/ /.googleplay.security/，名稱為 “_VoiceCall_” + currentTime。此惡意軟體也會將行動裝置轉變為錄音機，就算使用者並未接聽或撥打電話，仍會每隔 60 秒即時錄音。

圖 3：惡意軟體的程式碼片段會在使用者裝置上進行離線錄音動作

不止竊聽,也會竊取聯絡人、簡訊、通話記錄和位置資訊

除了使用受感染的裝置來偷偷錄音之外，此惡意軟體也會寫入和竊取聯絡人、簡訊、通話記錄和位置資訊。

圖 4：惡意軟體的程式碼片段會從使用者裝置竊取聯絡人

圖 5：惡意軟體的程式碼片段會從使用者裝置竊取簡訊內容

圖 6：惡意軟體的程式碼片段會從使用者裝置竊取通話記錄

圖 7：惡意軟體的程式碼片段會進入 https://mylocation.org，以竊取使用者裝置的 IP 位址。註：就算使用者身處印度或南亞以外的地區，此惡意軟體仍會入侵使用者。

圖 8：惡意軟體的程式碼片段會透過 GPS 或網路，從使用者的裝置竊取位置資訊

在趨勢科技的研究中，也發現有一個以印度模特兒女星命名的惡意應用程式，和 PoriewSpy 應用程式的程式碼有相似之處。此惡意應用程式是在 2014 年建置，我們推測這是 PoriewSpy 的早期版本，和一些最新的惡意程式版本共用同一個 C&C 伺服器。此惡意應用程式能夠竊取通話記錄、聯絡人、簡訊、SD 卡檔案清單和進行錄音動作。

圖 9：左圖：貌似 PoriewSpy 早期版本的配置碼。右圖：PoriewSpy 最新版本的配置碼。

偽裝省電等各種應用程式 誘騙下載

根據所共用的 C&C 伺服器，PoriewSpy 背後的駭客團體，似乎也一直使用以 DroidJack 建置的應用程式。操作人員將這些以 DroidJack 建置的應用程式，偽裝成 freeCall、BatterySavor、Secure_Comm 與 Nexus_Compatability。

這些惡意應用程式能夠取得 Android 裝置主要功能的所有必要權限，這些功能包括使用、修改和進行通話、簡訊、電話簿、相機、錄音機，以及啟用或停用 Wi-Fi 連線功能。

以 PoriewSpy 和 DroidJack 版本應用程式的 C&C 伺服器

PoriewSpy 的某些 C&C 伺服器位於 5[.]189[.]137[.]8 和 5[.]189[.]145[.]248；以 DroidJack 版本應用程式的某些 C&C 伺服器則位於 93[.]104[.]213[.]217 和 88[.]150[.]227[.]71。我們的研究顯示，有一個據稱從事網路間諜活動的駭客團體，之前曾經使用過這四部 C&C 伺服器。遭到濫用的 5[.]189[.]137[.]8、5[.]189[.]145[.]248 和 93[.]104[.]213[.]217 等 IP，可以追溯到一家位於德國的合法主機託管服務供應商。88[.]150[.]227[.]71 的 IP 則是位於英國。PoriewSpy 初版 (被某些 PoriewSpy 最新版本採用) 的 C&C 伺服器 IP 62[.]4[.]2[.]211，隸屬於法國的服務供應商。此駭客團體也使用了位於南亞的 draagon[.]ddns[.]net。

圖 10：上方的圖表顯示 PoriewSpy 與 DroidJack 版本應用程式，以及可疑網路間諜團體的 C&C 伺服器之間的連結。綠點代表目前的惡意程式樣本。以黃色標示的 IP 是該團體在先前的攻擊活動中所使用的 IP，以紅色標示的 IP 推測是行動平台的延伸。

PoriewSpy 與 DroidJack 版本應用程式開始活躍的期間，似乎也符合該駭客團體攻擊活動的時間。據觀察，上述行動惡意軟體的活動，在 2015 年年底到 2016 年年初變得活躍，而此駭客團體的活動也大約在同期變得活躍。

對策

相較於桌上型電腦或 PC，行動裝置上的目標式攻擊可能不多，但如果發現在行動平台上進行窺探的 PoriewSpy 或其他惡意應用程式，應該警告使用者注意，如果其裝置不夠安全，可能就會受到威脅攻擊。只從合法應用程式商店下載檔案，可以防止 PoriewSpy 與 DroidJack 版本應用程式入侵您的行動裝置。知道應該允許哪些應用程式存取，以及在接受任何賦予應用程式某些權限的條款前，先行了解風險，也非常重要。

終端使用者和企業也可以受惠於多層次的行動安全解決方案，例如趨勢科技行動安全防護。針對組織，Trend Micro™ Mobile Security for Enterprise 可提供裝置、法規遵循與應用程式管理、資料防護和配置佈建，並保護裝置免於遭到利用漏洞進行的攻擊、防止未經授權存取應用程式，以及偵測和封鎖惡意軟體及詐騙網站。

趨勢科技的行動裝置應用程式信譽評等服務 (MARS)，採用先進的沙盒與機器學習技術，來找出 Android 與 iOS 的威脅。此服務可保護使用者免於遭到惡意軟體與零時差的攻擊，和受到已知漏洞、隱私資料洩露與應用程式弱點的影響。

我們向 Google 透露了調查結果，Google 則表示 Google Play 商店上並未提供上述任何一種惡意應用程式。Google Play Protect (安全防護) 進行了更新，以防禦新的和現有的類似威脅。

入侵指標 (IOC)

C&C 伺服器

原文來源: Cyberespionage Campaign Sphinx Goes Mobile With AnubisSpy