趨勢科技發現PoriewSpy惡意應用程式攻擊印度的安卓(Android) 使用者,發動攻擊的駭客團體先前曾對政府官員進行攻擊, 這些惡意應用程式自 2017 年底以來,就一直進行窺探和竊取資料的間諜攻擊事件。其背後的操作人員,可能與 2016 年發現的一個可疑網路間諜組織有關。
基於其命令及控制 (C&C) 伺服器的相似性,我們也懷疑,此駭客組織使用了以 DroidJack 或 SandroRAT (偵測為 ANDROIDOS_SANRAT.A) 建置的惡意應用程式。如果使用者的 Android 裝置安裝了這個遠端存取木馬程式 (RAT),入侵者就能夠完全控制此裝置。
PoriewSpy 會將安卓裝置轉變成錄音機,用來竊取其他裝置的資訊
早在 2014 年,PoriewSpy 會竊取受害者裝置上的敏感資訊,例如簡訊、通話記錄、聯絡人、位置和 SD 卡檔案清單。PoriewSpy 也可以錄下受害者的語音通話內容。此惡意軟體是利用稱為 android-swipe-image-viewer 或 Android Image Viewer 的開放原始碼計畫所開發的,惡意軟體的操作人員修改了此計畫的程式碼,加入了下列元件:
| 權限 | |
| android.permission.INTERNET | 允許應用程式開啟網路通訊端 |
| android.permission.RECORD_AUDIO | 允許應用程式錄製音訊 |
| android.permission.ACCESS_NETWORK_STATE | 允許應用程式存取網路相關資訊 |
| android.permission.READ_SMS | 允許應用程式讀取簡訊 |
| android.permission.READ_LOGS | 允許應用程式讀取低層的系統日誌檔案 |
| android.permission.GET_ACCOUNTS | 允許存取 Accounts Service 中的帳戶清單 |
| android.permission.READ_CONTACTS | 允許應用程式讀取使用者的聯絡人資料 |
| android.permission.READ_CALL_LOG | 允許應用程式讀取使用者的通話記錄 |
| android.permission.READ_PHONE_STATE | 允許對手機狀態進行唯讀存取 |
| android.permission.WRITE_EXTERNAL_STORAGE | 允許應用程式寫入外部儲存裝置 |
| android.permission.READ_EXTERNAL_STORAGE | 允許應用程式從外部儲存裝置讀取 |
| android.permission.RECEIVE_BOOT_COMPLETED | 允許應用程式接收在系統完成開機後廣播的 ACTION_BOOT_COMPLETED 訊息 |
| android.permission.BATTERY_STATS | 允許應用程式更新收集到的電池統計資料 |
| aandroid.permission.ACCESS_FINE_LOCATION | 允許應用程式存取精確定位 (例如 GPS) 的位置 |
| android.permission.ACCESS_WIFI_STATE | 允許應用程式存取 Wi-Fi 網路相關資訊 |
| android.permission.ACCESS_COARSE_LOCATION | 允許應用程式存取粗略定位 (例如 Cell-ID、WiFi) 的位置 |
| android.permission.ACCESS_MOCK_LOCATION | 允許應用程式建立用於測試的模擬位置提供者 |
| android.permission.CHANGE_NETWORK_STATE | 允許應用程式變更網路連線狀態 |
| android.permission.CHANGE_WIFI_STATE | 允許應用程式變更 Wi-Fi 連線狀態 |
圖 1:惡意軟體作者修改 Android Image Viewer 所加入的權限
| 服務 | |
| AudioRecord | 主要間諜元件 |
| LogService | 用來收集日誌 |
| RecordService | 音訊錄製 |