安卓手機變成竊聽錄音機!駭客組織利用 PoriewSpy對 Android 用戶進行間諜攻擊

趨勢科技發現PoriewSpy惡意應用程式攻擊印度的安卓(Android) 使用者,發動攻擊的駭客團體先前曾對政府官員進行攻擊, 這些惡意應用程式自 2017 年底以來,就一直進行窺探和竊取資料的間諜攻擊事件。其背後的操作人員,可能與 2016 年發現的一個可疑網路間諜組織有關。

基於其命令及控制 (C&C) 伺服器的相似性,我們也懷疑,此駭客組織使用了以 DroidJack 或 SandroRAT (偵測為 ANDROIDOS_SANRAT.A) 建置的惡意應用程式。如果使用者的 Android 裝置安裝了這個遠端存取木馬程式 (RAT),入侵者就能夠完全控制此裝置。

PoriewSpy 會將安卓裝置轉變成錄音機,用來竊取其他裝置的資訊

早在 2014 年,PoriewSpy 會竊取受害者裝置上的敏感資訊,例如簡訊、通話記錄、聯絡人、位置和 SD 卡檔案清單。PoriewSpy 也可以錄下受害者的語音通話內容。此惡意軟體是利用稱為 android-swipe-image-viewer 或 Android Image Viewer 的開放原始碼計畫所開發的,惡意軟體的操作人員修改了此計畫的程式碼,加入了下列元件:

權限
android.permission.INTERNET 允許應用程式開啟網路通訊端
android.permission.RECORD_AUDIO 允許應用程式錄製音訊
android.permission.ACCESS_NETWORK_STATE 允許應用程式存取網路相關資訊
android.permission.READ_SMS 允許應用程式讀取簡訊
android.permission.READ_LOGS 允許應用程式讀取低層的系統日誌檔案
android.permission.GET_ACCOUNTS 允許存取 Accounts Service 中的帳戶清單
android.permission.READ_CONTACTS 允許應用程式讀取使用者的聯絡人資料
android.permission.READ_CALL_LOG 允許應用程式讀取使用者的通話記錄
android.permission.READ_PHONE_STATE 允許對手機狀態進行唯讀存取
android.permission.WRITE_EXTERNAL_STORAGE 允許應用程式寫入外部儲存裝置
android.permission.READ_EXTERNAL_STORAGE 允許應用程式從外部儲存裝置讀取
android.permission.RECEIVE_BOOT_COMPLETED 允許應用程式接收在系統完成開機後廣播的 ACTION_BOOT_COMPLETED 訊息
android.permission.BATTERY_STATS 允許應用程式更新收集到的電池統計資料
aandroid.permission.ACCESS_FINE_LOCATION 允許應用程式存取精確定位 (例如 GPS) 的位置
android.permission.ACCESS_WIFI_STATE 允許應用程式存取 Wi-Fi 網路相關資訊
android.permission.ACCESS_COARSE_LOCATION 允許應用程式存取粗略定位 (例如 Cell-ID、WiFi) 的位置
android.permission.ACCESS_MOCK_LOCATION 允許應用程式建立用於測試的模擬位置提供者
android.permission.CHANGE_NETWORK_STATE 允許應用程式變更網路連線狀態
android.permission.CHANGE_WIFI_STATE 允許應用程式變更 Wi-Fi 連線狀態

1:惡意軟體作者修改 Android Image Viewer 所加入的權限

服務
AudioRecord 主要間諜元件
LogService 用來收集日誌
RecordService 音訊錄製

接收器
OnBootReceiver 裝置重新開機後自動啟動
BatteryReciever 用於裝置電源連接的動作
CallBroadcastReceiver 處理通話動作
NetworkChangeReceiver 處理裝置網路動作
CameraEventReciver 處理相機相關動作

2:惡意軟體作者修改 Android Image Viewer 所加入的服務和接收器

隱藏圖示不被發現 每隔 60 秒即時錄音

PoriewSpy 應用程式會自動從使用者所造訪的惡意網站下載。當惡意應用程式啟動時,剛開始會顯示一位印度女演員的裸體照片,但之後就會將自己的圖示隱藏起來,不讓使用者看到。當使用者使用受感染的安卓裝置撥打電話時,此惡意軟體就會開始錄音,並將錄製的音訊檔儲存到 /sdcard/ /.googleplay.security/,名稱為 “_VoiceCall_” + currentTime。此惡意軟體也會將行動裝置轉變為錄音機,就算使用者並未接聽或撥打電話,仍會每隔 60 秒即時錄音。

Figure 3

3:惡意軟體的程式碼片段會在使用者裝置上進行離線錄音動作

不止竊聽,也會竊取聯絡人、簡訊、通話記錄和位置資訊

除了使用受感染的裝置來偷偷錄音之外,此惡意軟體也會寫入和竊取聯絡人、簡訊、通話記錄和位置資訊。

Figure 4

4:惡意軟體的程式碼片段會從使用者裝置竊取聯絡人

Figure 5

5:惡意軟體的程式碼片段會從使用者裝置竊取簡訊內容

Figure 6 6:惡意軟體的程式碼片段會從使用者裝置竊取通話記錄

Figure 7 7:惡意軟體的程式碼片段會進入 https://mylocation.org,以竊取使用者裝置的 IP 位址。註:就算使用者身處印度或南亞以外的地區,此惡意軟體仍會入侵使用者。

Figure 8 8:惡意軟體的程式碼片段會透過 GPS 或網路,從使用者的裝置竊取位置資訊

趨勢科技的研究中,也發現有一個以印度模特兒女星命名的惡意應用程式,和 PoriewSpy 應用程式的程式碼有相似之處。此惡意應用程式是在 2014 年建置,我們推測這是 PoriewSpy 的早期版本,和一些最新的惡意程式版本共用同一個 C&C 伺服器。此惡意應用程式能夠竊取通話記錄、聯絡人、簡訊、SD 卡檔案清單和進行錄音動作。

Figure 9

9:左圖:貌似 PoriewSpy 早期版本的配置碼。右圖:PoriewSpy 最新版本的配置碼。

偽裝省電等各種應用程式 誘騙下載

根據所共用的 C&C 伺服器,PoriewSpy 背後的駭客團體,似乎也一直使用以 DroidJack 建置的應用程式。操作人員將這些以 DroidJack 建置的應用程式,偽裝成 freeCall、BatterySavor、Secure_Comm 與 Nexus_Compatability。

這些惡意應用程式能夠取得 Android 裝置主要功能的所有必要權限,這些功能包括使用、修改和進行通話、簡訊、電話簿、相機、錄音機,以及啟用或停用 Wi-Fi 連線功能。

PoriewSpy DroidJack 版本應用程式的 C&C 伺服器

PoriewSpy 的某些 C&C 伺服器位於 5[.]189[.]137[.]8 和 5[.]189[.]145[.]248;以 DroidJack 版本應用程式的某些 C&C 伺服器則位於 93[.]104[.]213[.]217 和 88[.]150[.]227[.]71。我們的研究顯示,有一個據稱從事網路間諜活動的駭客團體,之前曾經使用過這四部 C&C 伺服器。遭到濫用的 5[.]189[.]137[.]8、5[.]189[.]145[.]248 和 93[.]104[.]213[.]217 等 IP,可以追溯到一家位於德國的合法主機託管服務供應商。88[.]150[.]227[.]71 的 IP 則是位於英國。PoriewSpy 初版 (被某些 PoriewSpy 最新版本採用) 的 C&C 伺服器 IP 62[.]4[.]2[.]211,隸屬於法國的服務供應商。此駭客團體也使用了位於南亞的 draagon[.]ddns[.]net。

Figure 10

10:上方的圖表顯示 PoriewSpy DroidJack 版本應用程式,以及可疑網路間諜團體的 C&C 伺服器之間的連結。綠點代表目前的惡意程式樣本。以黃色標示的 IP 是該團體在先前的攻擊活動中所使用的 IP,以紅色標示的 IP 推測是行動平台的延伸。

PoriewSpy 與 DroidJack 版本應用程式開始活躍的期間,似乎也符合該駭客團體攻擊活動的時間。據觀察,上述行動惡意軟體的活動,在 2015 年年底到 2016 年年初變得活躍,而此駭客團體的活動也大約在同期變得活躍。

對策

相較於桌上型電腦或 PC,行動裝置上的目標式攻擊可能不多,但如果發現在行動平台上進行窺探的 PoriewSpy 或其他惡意應用程式,應該警告使用者注意,如果其裝置不夠安全,可能就會受到威脅攻擊。只從合法應用程式商店下載檔案,可以防止 PoriewSpy 與 DroidJack 版本應用程式入侵您的行動裝置。知道應該允許哪些應用程式存取,以及在接受任何賦予應用程式某些權限的條款前,先行了解風險,也非常重要。

終端使用者和企業也可以受惠於多層次的行動安全解決方案,例如趨勢科技行動安全防護。針對組織,Trend MicroMobile Security for Enterprise 可提供裝置、法規遵循與應用程式管理、資料防護和配置佈建,並保護裝置免於遭到利用漏洞進行的攻擊、防止未經授權存取應用程式,以及偵測和封鎖惡意軟體及詐騙網站。

趨勢科技的行動裝置應用程式信譽評等服務 (MARS),採用先進的沙盒與機器學習技術,來找出 Android 與 iOS 的威脅。此服務可保護使用者免於遭到惡意軟體與零時差的攻擊,和受到已知漏洞、隱私資料洩露與應用程式弱點的影響。

我們向 Google 透露了調查結果,Google 則表示 Google Play 商店上並未提供上述任何一種惡意應用程式。Google Play Protect (安全防護) 進行了更新,以防禦新的和現有的類似威脅。

入侵指標 (IOC)

SHA256 App Label Package Name
cc84045618448e9684e43d5b9841aacedae94c2177862837c5a9e29c73716a90 com.google.security com[.]sqisland[.]android[.]swipe_image_viewer
34331ed1d919a1b3f6aeeb5ef7954b4101aabc54514d67611c26f284e459024d com.google.security com[.]sqisland[.]android[.]swipe_image_viewer
2eb74656d63c0998ad37cf5da7e2397ddbb5523ad6ee0ca9847fa27875d0420e com.google.security com[.]sqisland[.]android[.]swipe_image_viewer
230ddf07a868ccae369b891bc94a10efd928ff9c0c2fb2e44451e32167d2c2b7 com.google.security com[.]sqisland[.]android[.]swipe_image_viewer
6b2ef1b5fab6fcc4167d24c391120fb5a4d1cdf9d75ae16352219f1939007fcc com.google.security com[.]sqisland[.]android[.]swipe_image_viewer
43142a836aa0d29dfbd55b0e21bb272e4f34ffd15ccfb4424f1f8c3502b6ca7c com.google.security com[.]sqisland[.]android[.]swipe_image_viewer
26cc93bcc141262bbbbc66e592dde2e6805b4007ef35844a7ee0ebcd27f2aef4 freecallv3 net[.]droidjack[.]server
e6753bba53d7cca4a534c3089f24cd0546462667d110c0d48974f9e76714fe1c Nexus_Compatability net[.]droidjack[.]server
563ebffbcd81d41e3ddb7b6ed580a2b17a6a6e14ec6bf208c9c22d7a296de7ae Rabia_Secrets net[.]droidjack[.]server
46c91f72e63c0857c30c9fea71a3cabf24523b683a5e77348343940072fb7371 BatterySavor net[.]droidjack[.]server
8b64a32e386d7cc51bb761bee8959bb5cac20e79ae1e549b04b7354e67bdee66 Secure_Comm net[.]droidjack[.]server
f529ccdee54c53e4c02366713ec2d2e8ff629fe56b2f5778f9f7d31f809e4446 Sannia_Secrets.. net[.]droidjack[.]server
8d89c1e697fc1bc1c18156bd12b3b44efbf551dbe077af23e560a4516df06143 Shivali Rastogi com[.]poonam[.]panday

C&C 伺服器

74[.]208[.]102[.]80
5[.]189[.]137[.]8
5[.]189[.]145[.]248
93[.]104[.]213[.]217
draagon[.]ddns[.]net
88[.]150[.]227[.]71
62[.]4[.]2[.]211

原文來源: Cyberespionage Campaign Sphinx Goes Mobile With AnubisSpy