一款會竊取使用者位置、簡訊對話、通話記錄和剪貼簿等資料的間諜軟體 MobSTSPY 偽裝成6款Android(安卓)應用程式,其中一款在全球下載數量已超過10萬次.殃及全球196個國家用戶。另外,MobSTSPY還會以網路釣魚手法竊取使用者的Facebook 臉書及Googel 帳密。
趨勢科技發現有一款間諜軟體(偵測為ANDROIDOS_MOBSTSPY)偽裝成合法Android應用程式收集使用者資料。這些應用程式在2018年出現在Google Play上,有一些在全球被下載了超過10萬次。
我們最開始研究的是一款遊戲軟體Flappy Birr Dog(如圖1)。其他還包括了FlashLight、HZPermis Pro Arabe、Win7imulator、Win7Launcher和Flappy Bird。
圖1、Flappy Birr Dog下載頁面
資料竊取
MobSTSPY能夠竊取使用者位置、簡訊對話、通話記錄和剪貼簿等資料。它會透過Firebase雲端通訊(FCM)將資料送到伺服器。惡意軟體啟動後會先檢查是否有網路可用,接著從C&C伺服器取得並解析XML設定檔。
圖2、從C&C伺服器取得設定檔
接著惡意軟體會收集設備資訊,如使用語言、註冊國家、套件名稱、裝置廠商等。可以從圖3看到竊取了哪些資料。
圖3、被竊資料
它將收集的資料送到C&C 伺服器來註冊裝置。完成後,惡意軟體會等待並執行透過FCM從C&C伺服器送來的命令。
圖4、來自C&C的Parse命令
根據惡意軟體所收到的命令不同,會進行竊取簡訊對話、聯絡人列表、檔案和通話紀錄等活動,如下列幾張圖所示。
圖5、竊取簡訊對話
圖6、竊取聯絡人列表
圖7、竊取通話紀錄
惡意軟體甚至可以竊取和上傳裝置內的檔案(在收到了圖8和圖9內的命令後)。
圖8、從目標資料夾竊取檔案
圖9、上傳檔案
網路釣魚功能
除了可以竊取資料,這隻惡意軟體還可以透過網路釣魚攻擊來收集帳密。它會跳出假的Facebook和Google視窗來誘騙使用者的帳號資料。
圖10、網路釣魚行為
如果使用者輸入了帳號密碼,假視窗會顯示登入失敗。但此時惡意軟體已經竊取了使用者的帳號密碼。
圖11、假的Facebook登入視窗
受害者分佈
此案例有個很有意思的地方是其散佈的範圍很廣。根據我們的後端監控及深入研究,可以看出受影響使用者的大致分佈,發現他們來自196個不同的國家。
圖12、受影響使用者數最多的國家
其他受影響的國家包括莫三比克、波蘭、伊朗、越南、阿爾及利亞、泰國、羅馬尼亞、義大利、摩洛哥、墨西哥、馬來西亞、德國、伊拉克、南非、斯里蘭卡、沙烏地阿拉伯、菲律賓、阿根廷、柬埔寨、白俄羅斯,哈薩克、坦尚尼亞、匈牙利等等。可以看出這些應用程式廣泛地散播到全球各地。
截至本文撰寫時,這些應用程式已經被Google從Google Play移除。
趨勢科技解決方案
此案例顯示出雖然應用程式很普遍且有用,使用者要下載到裝置時仍然要小心謹慎。應用程式的普及會驅使駭客們繼續開發來竊取資料或用來進行其他類型的攻擊活動。此外,使用者還可以安裝全面性的網路安全解決方案來保護行動裝置抵禦行動惡意軟體的侵害。
趨勢科技行動安全防護能夠偵測此威脅,使用者也可以透過其多層次安全防護功能來保護裝置的資料和隱私,對抗勒索病毒、詐騙網站和身份竊盜等惡意威脅。
企業可以使用趨勢科技的行動安全防護企業版提供裝置、合規和應用程式管理,資料保護和設定配置,並且保護裝置對抗漏洞攻擊,防止未經授權存取,以及偵測和封鎖惡意軟體及詐騙網站。趨勢科技的行動應用程式信譽評比服務(MARS)使用業界領先的沙箱和機器學習技術來涵蓋Android和iOS威脅。能夠保護使用者解決惡意軟體、零時差攻擊和已知漏洞攻擊、隱私外洩及應用程式漏洞等問題。
入侵指標
| SHA256 | 套件名稱 | 標籤 | 下載次數 |
| 12fe6df56969070fd286b3a8e23418749b94ef47ea63ec420bdff29253a950a3 | ma[.]coderoute[.]hzpermispro | HZPermis Pro Arabe | 50 to 100 |
| 72252bd4ecfbd9d701a92a71ff663776f685332a488b41be75b3329b19de66ba | com[.]tassaly[.]flappybird | Flappy Bird | 0 |
| 4593635ba742e49a64293338a383f482f0f1925871157b5c4b1222e79909e838 | com[.]mobistartapp[.]windows7launcher | Win7Launcher | 1,000 to 5,000 |
| 38d70644a2789fc16ca06c4c05c3e1959cb4bc3b068ae966870a599d574c9b24 | com[.]mobistartapp[.]win7imulator | Win7imulator | 100,000 to 500,000 |
| 0c477d3013ea8301145b38acd1c59969de50b7e2e7fc7c4d37fe0abc3d32d617 | com[.]mobistartapp[.]flashlight | FlashLight | 50 to 100 |
| a645a3f886708e00d48aca7ca6747778c98f81765324322f858fc26271026945 | com[.]tassaly[.]flappybirrdog | Flappy Birr Dog | 10 |
命令與控制伺服器
hxxp://www[.]mobistartapp[.]com
hxxp://www[.]coderoute[.]ma
hxxp://www[.]hizaxytv[.]com
hxxp://www[.]seepano[.]com
@原文出處:Spyware Disguises as Android Applications on Google Play 作者:Ecular Xu和Gray Guo
PC-cillin 雲端版整合 AI 人工智慧的多層式防護,精準預測即時抵禦未知威脅 》即刻免費下載試用
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。
▼ 歡迎加入趨勢科技社群網站▼
