《肺炎詐騙》以冠狀病毒更新為名的App夾帶間諜軟體,感染Android 和 iOS裝置

近日繼 Netflix 免費看? Facebook Messenger 收到這個別點! 這個以疫情為餌的假優惠之後,趨勢科技 又發現一起疑似間諜軟體感染Android和iOS裝置(趨勢科技分別偵測為AndroidOS_ProjectSpy.HRX和IOS_ProjectSpy.A)的網路間諜活動,將其命名為Project Spy。Project Spy利用爆發中的冠狀病毒( COVID-19,俗稱武漢肺炎)疫情作餌,用 Coronavirus Update作為應用程式名稱。

Project Spy 會監聽通話、 收集和傳送簡訊 、偷拍照片、 收集通話紀錄和位置資訊 …竊取從WhatsApp、Facebook和Telegram傳送的訊息等等。

假借武漢肺炎最新資訊名義為誘餌,間諜軟體鎖定行動裝置平臺收集資料
假借武漢肺炎最新資訊名義為誘餌,間諜軟體鎖定行動裝置平臺收集資料

趨勢科技指出,Project Spy最早的版本出現在去年五月間,不僅偽裝成Google服務,還仿冒熱門視訊分享社群網路的服務登入網頁,這次趁著疫情熱度又再次現蹤,雖然該應用程式應仍處於開發與測試階段,但相信駭客正伺機替惡意程式碼進化再升級,提醒民眾務必小心防範!

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用

Project Spy行為描述

我們在2020年3月底看到一個偽裝成冠狀病毒更新的應用程式,根據其後端伺服器登入網頁將其命名為Project Spy。

A screenshot of a cell phoneDescription automatically generated
圖1. Project Spy化名為Corona Updates的應用程式
A screen shot of a computerDescription automatically generated
圖2. Project Spy伺服器登入頁面。可從應用程式程式碼內找到伺服器地址和登入帳密。

此應用程式具備多種功能:

  • 上傳GSM、WhatsApp、Telegram、Facebook和Threema訊息
  • 上傳語音備忘錄、已儲存聯絡人、帳號、通話記錄、位置資訊和照片
  • 上傳所收集裝置資訊的延伸清單(如IMEI、產品、主機板、製造商、標籤、主機、Android版本、應用程式版本、名稱、型號品牌、使用者、序號、硬體、開機程式和裝置ID)
  • 上傳SIM卡資訊(如IMSI、電信商代碼、國家/地區、行動裝置國家代碼,SIM卡序號、電信商名稱和手機號碼)
  • 上傳WIFI資訊(如SSID、WIFI速度和MAC地址)
  • 上傳其他資訊(如顯示、日期、時間、指紋、建立時間和更新時間)
  • 透過利用通知權限讀取通知內容,讓此應用程式能夠從熱門即時通軟體竊取訊息內容並儲存到資料庫。它會要求存取外部儲存裝置的權限。
A screenshot of a social media postDescription automatically generated
圖3. 該應用程式攔截收到的廣播並將通知內容儲存在資料庫

A screenshot of a cell phoneDescription automatically generated
圖4. 利用通知權限來讀取通知內容

Project Spy的早期版本

透過在樣本資料庫內搜索網域,趨勢科技發現Coronavirus Update似乎我們之前在2019年5月所偵測另一樣本的更新版本。

A screenshot of a social media postDescription automatically generated
圖5. 2019年5月(第一版)內含與2020年3月(第三版)相同的網域

Project Spy的第一個版本(趨勢科技偵測為AndroidOS_SpyAgent.HRXB)具備以下功能:

  • 收集裝置和系統資訊(如IMEI、裝置ID、製造商、型號和電話號碼),位置資訊、儲存的聯絡人和通話記錄
  • 收集和傳送簡訊
  • 透過相機拍照
  • 上傳錄製的MP4檔案
  • 監聽通話

經過進一步地搜尋,我們還發現另一個可能是Project Spy第二版的樣本。此版本顯示為Wabi Music,仿冒了一個熱門視訊分享社群網路服務後端登入網頁。第二版在Google Play上列出的開發者名稱為concipit1248,並且可能在2019年5月至2020年2月間都仍處於活躍狀態。此應用程式在2020年3月似乎已經無法從Google Play上取得。

A screenshot of a cell phoneDescription automatically generated
圖6. Project Spy的第二版(左)和登入頁面(右)

Project Spy第二版具備與第一版相似的功能,並加入以下改變:

  • 竊取從WhatsApp、Facebook和Telegram傳送的訊息
  • 放棄用FTP上傳照片

除了變更應用程式功能和外觀外,第二版和第三版的程式碼幾乎沒有區別。

與疑似惡意 iOS 應用程式的連結

使用程式碼和Concipit1248來進一步地搜尋,我們在App Store找到另外兩個應用程式。

A screenshot of a cell phoneDescription automatically generated
圖7. App Store中可取得的應用程式,開發人員是Concipit Shop

進一步分析iOS應用程式Concipit1248顯示其所用的伺服器spy[.]cashnow[.]ee與Android版的Project Spy所用的伺服器相同。

A screenshot of a cell phoneDescription automatically generated
圖8. Concipit1248 iOS應用程式程式碼顯示出伺服器地址

儘管Concipit1248應用程式要求使用裝置相機和讀取照片的權限,但該程式碼只能將自己的PNG檔案上傳到遠端伺服器。這可能表示Concipit1248應用程式仍在開發中。

A screenshot of a cell phoneDescription automatically generated
圖9. iOS應用程式Concipit1248的權限

來自同一開發者的另一個iOS應用程式Concipit Shop看似正常,並於2019年11月進行最後一次更新。經過程式碼分析,Apple已經確認該iOS應用程式無法運行,並表示沙箱能夠偵測和封鎖這些惡意行為。

惡意應用程式正等待「正確時機」加入惡意程式碼

Corona Updates應用程式在巴基斯坦、印度、阿富汗、孟加拉、伊朗、沙烏地阿拉伯、奧地利、羅馬尼亞、格瑞納達和俄羅斯都有少量下載。可能是因為該應用程式功能錯誤導致下載量較低。目前看起來這些應用程式可能仍在開發中,等待「正確時機」來加入惡意程式碼。這些應用程式也可能是用來測試其他可能技術。駭客或許是在等待應用程式達到特定下載量或受感染裝置數量再來進行其他動作。

程式碼風格顯示出此惡意活動背後的網路犯罪分子只是業餘等級。惡意活動中所用的iOS程式碼並不完整,可能是買來的,裡面已經加入了其他功能。這也可以解釋應用程式開發跟到達能夠完全運作間有段時間差距。因為這是之前未看過的新團體,因此我們會持續監視此活動以了解進一步的發展。

提醒使用者在下載應用程式前要先研究並檢查評論。檢查該應用程式的畫面和內容,聲稱的功能,其他使用者留下的評論以及所要求的權限。確保所有其他已安裝應用程式及裝置作業系統都已經更新到最新版本。

趨勢科技解決方案

使用者可以安裝能封鎖惡意應用程式的安全解決方案,如趨勢科技行動安全防護。使用者還可以利用多層次安全防護所提供的功能來保護裝置所有者的資料和隱私,並抵禦勒索軟體、欺詐性網站、間諜軟體和身份竊盜等惡意威脅。

對於企業,趨勢科技的行動安全防護企業版提供了裝置、法規遵循和應用程式管理,資料保護和設定配置,同時能夠保護裝置抵禦漏洞攻擊,防止未經授權的存取以及偵測並封鎖惡意軟體。趨勢科技的行動應用信譽評比服務(MARS)使用業界領先的沙箱和機器學習(Machine learning,ML)技術來涵蓋Android和iOS威脅。能夠保護使用者解決惡意軟體、零時差攻擊和已知漏洞攻擊、隱私外洩及應用程式漏洞等問題。 

入侵指標

SHA256 偵測名稱
e394e53e53cd9047d6cff184ac333ef7698a34b777ae3aac82c2c669ef661dfe AndroidOS_SpyAgent.HRXB
e8d4713e43241ab09d40c2ae8814302f77de76650ccf3e7db83b3ac8ad41f9fa AndroidOS_ProjectSpy.HRX
29b0d86ae68d83f9578c3f36041df943195bc55a7f3f1d45a9c23f145d75af9d AndroidOS_ProjectSpy.HRX
3a15e7b8f4e35e006329811a6a2bf291d449884a120332f24c7e3ca58d0fbbd IOS_ProjectSpy.A

網址

cashnow[.]ee                   後端伺服器

ftp[.]XXXX[.]com          後端伺服器

spy[.]cashnow[.]ee          後端伺服器

xyz[.]cashnow[.]ee         後端伺服器

MITRE ATT&CK框架

Android

A screenshot of a cell phoneDescription automatically generated

iOS

A screenshot of a cell phoneDescription automatically generated

@原文出處:Coronavirus Update App Leads to Project Spy Android and iOS Spyware 作者:Tony Bao和Junzhi Lu(趨勢科技

延伸閱讀:
Netflix 免費看? Facebook Messenger 收到這個別點!
疫發不可收拾的網路謠言,如何教孩子分辨?
六個冠狀病毒常用網路釣魚主旨
勒索病毒疫起來賺黑心財!不僅讓手機變磚塊,還威脅公開社群私密影像
《資安新聞周報》不只防肺炎,也要治謠言 /小心「在家工作」郵件真偽/捷克醫院,收到防冠狀病毒電郵,遭勒索病毒攻擊
 WHO呼籲:只有@who.int 才是來自世衛的信件,@who. com 、@who. org 都是山寨!
冠狀病毒/武漢肺炎疫情通知信,竟是駭客發的!(含歷年國際重大災難網釣事件)
趁冠狀病毒/武漢肺炎口罩之亂, 全聯遭冒用,詐騙集團成立多個假粉專騙個資

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用

💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂

FBIGYoutubeLINE官網