趨勢科技發現一個會竊取個資的多平台間諜軟體: Maikspy,目標是Windows和Android使用者,該間諜軟體偽裝成人遊戲: Virtual Girlfriend(虛擬女友)。Android 用戶若感染了該間諜軟體,通話時它會偷偷錄音和竊取設備所在位置、簡訊、聯絡人和
WhatsApp資料庫等資訊。最新的變種還可以竊取剪貼簿、本機號碼、已安裝應用程式列表和帳號等資訊。
安裝惡意Virtual Girlfriend(虛擬女友)應用程式後,間諜軟體會秀出線上約會詐騙網站,當使用者進行註冊時,駭客不僅可以取得受害者的信用卡資料,還會取得註冊該網站時的刷卡費用。
另外,趨勢科技也發現 Windows使用者在瀏覽特定網頁時可能會被安裝 Chrome 擴充功能(VirtualGirlfriend.crx)。當下載此擴充功能時,會指示受害者將其加入瀏覽器。接著 Maikspy 就能收集從網頁輸入的使用者名稱和密碼。
如果你授權它使用你的Twitter帳號,作者可以利用這個帳號來使用自動化工具散播廣告。
PC-cillin 雲端版防範勒索 保護個資 ✓手機✓電腦✓平板,跨平台防護3到位
PC–cillin 雲端版超強跨平台防護, 同時支援PC、Mac及Android智慧手機與平板電腦,一組序號可安裝在不同上網設備,讓您不管在何時、何地都能獲得跨平台的防護。
趨勢科技發現了稱為Maikspy的惡意軟體家族,這是會竊取使用者私人資料的多平台間諜軟體。這系列間諜軟體的目標是Windows和Android使用者,一開始出現就用成人遊戲作為偽裝,使用熱門美國AV女星來命名。Maikspy這個結合AV女星和間諜軟體的名稱從2016年開始出現。
根據分析最新Maikspy變種的結果顯示,使用者從感染了間諜軟體,這網站會散播惡意應用程式(包括2016年的成人遊戲),連到其C&C伺服器來從上傳中毒設備和電腦的資料。有多個Twitter帳號廣告了這款被稱為Virtual Girlfriend(虛擬女友)的成人遊戲,並透過短網址分享惡意網站。
![Figure 1. Tweets that mention Virtual Girlfriend and the short link of hxxp://miakhalifagame[.]com/](https://blog.trendmicro.com/trendlabs-security-intelligence/files/2018/05/Figure_1_Twitter_promotes_Virtual_Girlfriend.jpg)
圖1、提到Virtual Girlfriend的推特文章
Android平台上的Maikspy
圖2、Maikspy Android變種的感染鏈
根據2018年3月所看到樣本的分析,Maikspy變種(趨勢科技偵測為AndroidOS_MaikSpy.HRX)在Android上偽裝成Virtual Girlfriend軟體,誘騙使用者連到駭客的惡意網域。當使用者點開Twitter上的短網址,會出現顯示性別選項的頁面,接著出現讓使用者選擇“第一位女朋友”的頁面,並引導進入下載網頁。
圖3、Virtual Girlfriend的選項頁面(左側的第一和第二個畫面)和下載網頁(第三個畫面)
當下載並啟動APK檔案,它會將中毒設備的Unix時間戳記送到使用瑞典國碼的電話號碼0046769438867。這行為應該是在註冊設備ID:
圖4、將設備Unix時間戳記發送到0046769438867的程式碼片段
“Error: 401. App not compatible. Uninstalling…“,安裝失敗?其實間諜軟體只是將自己隱藏起來並在背景執行
接著,Maikspy應用程式會顯示“Error: 401. App not compatible. Uninstalling…“,試圖欺騙使用者已經刪除了應用程式。但其實間諜軟體只是將自己隱藏起來並在背景執行。惡意應用程式會先檢查所需要的權限,然後繼續以下行為:
- 竊取電話號碼
- 竊取帳號
- 竊取已安裝應用程式列表
- 竊取聯絡人
- 竊取簡訊
竊取的資料會被寫成.txt或.csv格式,然後上傳到C&C伺服器。
上傳了上述資料後,惡意應用程式會每60秒檢查一次來自C&C伺服器的命令。以下是所支援的命令:
| 命令 | 敘述 |
| startrecording | 開始錄下設備周圍的聲音 |
| stoprecording | 停止錄音 |
| uploaddata | 上傳/sdcard/DCIM,/sdcard/Downloads,/sdcard/Movies, /sdcard/Pictures,/sdcard/Documents的檔案 |
| getnumber | 取得並上傳電話號碼 |
| getclipboard | 取得並上傳剪貼簿內容 |
| sms- | 發送簡訊 |
| get- | 取得並上傳特定檔案 |
| getcontacts | 取得並上傳聯絡人 |
| getinstalledapps | 取得並上傳已安裝應用程式列表 |
| getmsgdata | 取得並上傳收到的簡訊 |
| getmsgdatasent | 取得並上傳送出的簡訊 |
| getaccounts | 取得並上傳帳號 |
| tree | 取得並上傳特定資料夾檔案列表 |
當首次執行Virtual Girlfriend時,惡意應用程式會結合Unix時間戳記、設備藍牙裝置名稱和使用者Twitter帳號來作為設備識別名稱:Timestamp_BTAdapterName_TwitterAccount。如果使用者沒有Twitter應用程式,就只會用一個空字串(“”)。如果使用者有多個Twitter帳號,間諜軟體會使用登入中的帳號。
圖5、將Unix時間戳記,設備藍牙裝置名稱和使用者Twitter帳號組合在一起生成設備識別名稱的程式碼片段
此外,間諜軟體在首次安裝時會出現以下頁面:
圖6、安裝惡意Virtual Girlfriend應用程式後,間諜軟體會秀出線上約會詐騙網站
線上交友網站的註冊頁面被用來誘騙使用者的信用卡資料。當使用者進行註冊時,信用卡會收取費用。這是當資料上傳時在網頁右下角隱藏的iframe(紅色底線)所造成。所以駭客不僅可以取得受害者的信用卡資料,還會取得向信用卡所收的費用,只要使用者沒有要求退費。
Windows平台上的Maikspy
圖7、Maikspy Windows變種的感染鏈
![Figure 8. These buttons greet users who clicked the Twitter short link of hxxp://miakhalifagame[.]com/](https://blog.trendmicro.com/trendlabs-security-intelligence/files/2018/05/Figure_8_Windows_button_Maikspy.jpg)
圖8、使用者點擊Twitter短連結後所出現的畫面
2017年4月出現的Maikspy Windows變種(WORM_INFOKEY.A)會誘騙使用者下載MiaKhalifa.rar檔案,裡面包含下列檔案:
圖9、MiaKhalifa.rar檔案內容
README.txt提供使用者如何關閉防病毒軟體及開啟網路的說明,駭客需要竊取資料並上傳到C&C伺服器。
圖10、README.txt的內容
register.bat用來取得管理員權限。
圖11、register.bat的程式碼片段
Uninstall.exe其實是開放原始碼的駭客工具Mimikatz,可從記憶體內取得未加密的密碼、雜湊值和Kerberos憑證)。而在這裡,Uninstall.exe被用來取得Windows帳號和密碼,再將結果寫入C:\Users\%username%\AppData\local\password.txt。
Setup.exe是竊取資料的核心模組。就跟Android版的Maikspy一樣,它會先連到C&C伺服器來註冊設備。
圖12、連到C&C伺服器註冊設備的程式碼片段
接著,它會到下列資料夾取得.jpg、.jpeg、.png、.txt、.wav、.html、.doc、.docx和.rtf檔案:C:/Users/%username%/Desktop、C:/Users/%username%/Pictures、C:/Users/%username%/Documents和C:/Users/%username%/Downloads。也會偷走資料夾的檔案列表。接著在上傳到C&C伺服器前先將它們寫入檔案。
圖13、掃描、取得和上傳.jpg、.jpeg、.png、.txt、.wav、.html、.doc、.docx和.rtf檔案的程式碼片段(左)。它還會取得系統相關資訊,像是預設瀏覽器、作業系統版本、Firefox版本、Chrome版本、IE版本和網路設定(右)。
趨勢科技發現Windows使用者在瀏覽hxxp://miakhalifagame[.]com時可能會被安裝Chrome擴充功能(VirtualGirlfriend.crx)。當下載此擴充功能(BREX_INFOSTEAL.A)時,會指示受害者如何將其加入瀏覽器。接著惡意軟體就能收集從網頁輸入的使用者名稱和密碼,再將其送到hxxps://miakhalifagame[.]com/testinn[.]php。
圖14、向用戶說明如何安裝惡意Chrome擴充功能
圖15、惡意擴充功能的程式碼片段
Round Year Fun和Maikspy間的關聯
我們檢視了廣告Virtual Girlfriend的推特帳號(見圖1)。Twitter帳號名稱是Round Year Fun,它的推文都是在廣告遊戲。
圖16、Round Year Fun的Twitter首頁
Twitter上廣告遊戲的網站。如下圖所示,它提供的並不只有Virtual Girlfriend。檢查此網站的暫存版本後,我們發現它也被用來散播Maikspy攻擊者第一次所用的成人遊戲。
![Figure 17. Virtual Girlfriend in the list of games advertised by hxxp://www[.]roundyearfun[.]org](https://blog.trendmicro.com/trendlabs-security-intelligence/files/2018/05/Figure_17_Maikspy_RoundYearFun.jpg)
圖17、廣告遊戲列表中的Virtual Girlfriend
![Figure 18. The adult game first used by the attackers was also found in the list of games advertised by hxxp://www[.]roundyearfun[.]org](https://blog.trendmicro.com/trendlabs-security-intelligence/files/2018/05/Figure_18_Maikspy_RoundYearFun2.jpg)
圖18、駭客第一次使用的成人遊戲也在廣告遊戲列表中找到
我們的分析顯示Twitter上廣告遊戲的網站。也被用作儲存受害者資料的C&C網址。惡意軟體也跟Virtual Girlfriend共用相同憑證。
圖19、在Maikspy惡意網域發現的Round Year Fun圖示
我們在Round Year Fun所提供遊戲發現了另外一件事,如果你授權它使用你的Twitter帳號,作者可以利用這個帳號來使用自動化工具廣告遊戲。作者使用圖1中的另一個Twitter帳號(rifusthegr8)來廣告Virtual Girlfriend,並轉推Round Year Fun自己推特上的遊戲廣告。
Maikspy從2016年到2018年的發展歷史
第一個Maikspy變種在2016年12月出現在Windows平台。偽裝成用AV女星命名的成人遊戲。它可以自我更新,並且會竊取放在桌面、圖片、文件和下載資料夾內的.jpg、.jpeg、.png、.txt、.wav、.html、.doc、.docx和.rtf檔案,還有本機內IE、Chrome、Firefox或預設瀏覽器的相關資料,以及作業系統資訊和網路設定。這個間諜軟體會連到107[.]180[.]46[.]243。
而這間諜軟體的第一款Android變種出現在2017年1月。也同樣利用之前所提的成人遊戲幌子,連到同一個C&C伺服器。它可以錄下通話和竊取設備位置、簡訊、聯絡人和WhatsApp資料庫等資訊,並且能夠錄下設備周圍的聲音。下一個變種很快就出現,加入了以下功能:竊取剪貼簿、本機號碼、已安裝應用程式列表和帳號等資訊。同時移除了竊取WhatsApp資料庫的能力。它也改變了命令格式。
在2017年3月,出現了另一個新變種,可以在使用者用相機拍照時竊取照片。程式碼結構和套件名稱也發生了變化,C&C地址也改到了198[.]12[.]155[.]84。
到了2017年4月,最新的Windows版本Maikspy出現並有了以下變動:C&C服務器更改為198[.]12[.]155[.]84,並且會竊取密碼以及.doc、.docx和.rtf檔案。
在2017年6月到12月之間,Android變種出現以下變動:C&C服務器變更為192[.]169[.]217[.]55,移除錄下通話的能力,接著C&C伺服器再次改為198[.]12[.]149[.]13。
在2018年1月,Android變種的應用程式名稱改為Virtual Girlfriend。攻擊者會用HTTP協定傳輸資料。也移除了竊取位置和圖片的能力。
Maikspy所用變種和C&C伺服器間的關係
Maikspy攻擊者在這些年來變更了網域和IP地址,但這些都是由美國的一家上市網域名稱註冊商和網站代管公司代管。下圖顯示出2016年到2018年間的Maikspy變種跟C&C伺服器的關聯(附錄中提供更多細節以及Android和Windows變種的雜湊值):
![Figure 20. The connection of Maikspy variants to 198[.]12[.]155[.]84, hxxp://roundyearfun[.]org/, and 192[.]169[.]217[.]55. Note: The green nodes represent Android samples, while the blue nodes represent Windows samples.](https://blog.trendmicro.com/trendlabs-security-intelligence/files/2018/05/Figure_20_CC_map_Maikspy1-1.jpg)
圖20、Maikspy變種,綠色節點代表Android樣本,而藍色節點代表Windows樣本。
![Figure 21. Connection of Maikspy variants to 107[.]180[.]46[.]243 and hxxp://fakeomegle[.]com](https://blog.trendmicro.com/trendlabs-security-intelligence/files/2018/05/Figure_21_CC_map_Maikspy2-1.jpg)
![Figure 22. Connection of Maikspy variants to 198[.]12[.]149[.]13and hxxp://miakhalifagame[.]com/](https://blog.trendmicro.com/trendlabs-security-intelligence/files/2018/05/Figure_22_CC_map_Maikspy3-1.jpg)
對策
只從合法應用程式商店(如Google Play)下載應用程式能夠防止Maikspy危害電腦和行動設備。更重要的一點是,接受任何條款或授予權限之前,要先了解允許了哪些應用程式取得了什麼權限,以及可能帶來的風險。
趨勢科技的行動應用程式信譽評比服務(MARS)使用業界領先的沙箱和機器學習技術來涵蓋Android和iOS威脅。能夠保護使用者解決惡意軟體、零時差攻擊和已知漏洞攻擊、隱私外洩及應用程式漏洞等問題。
PC–cillin 雲端版超強跨平台防護, 同時支援PC、Mac及Android智慧手機與平板電腦,一組序號可安裝在不同上網設備,讓您不管在何時、何地都能獲得跨平台的防護。➔即刻免費下載試用
企業可以使用趨勢科技的行動安全防護Mobile Security,提供設備、合規和應用程式管理,資料保護和設定配置,並且保護設備對抗漏洞攻擊,防止未經授權存取,以及偵測和封鎖惡意軟體及詐騙網站。
趨勢科技”Deep Discovery進階網路安全防護 威脅防護平台讓企業能夠偵測、分析和回應現代威脅,如複雜惡意軟體、針對性攻擊和進階持續性威脅(APT)。
趨勢科技的Smart Protection for Endpoints具備最強的XGen安全防護技術,將高保真機器學習融入混合式的威脅防護技術,消除使用者和端點系統的安全間隙,對進階威脅提供最廣泛的防護。
@原文出處:Maikspy Spyware Poses as Adult Game, Targets Windows and Android Users 作者:Ecular Xu和Grey Guo(行動威脅回應團隊)