ZimperiumzLabs的研究人员本周发出警报,提醒Android用户注意一种复杂的新恶意软件。这种新的恶意软件会将自己伪装成系统更新应用程序,从而诱使用户下载它。一旦用户下载恶意软件,该软件就会窃取数据、消息、照片并控制Android手机。不仅可以窃取用户设备上已有的数据,黑客还可以偷偷录制音频和通话、拍照以及访问用户的地理位置等。经过调查,研究人员发现假冒的“SystemUpdate”是一种极其复杂的恶意软件,并向谷歌确认该应用仅在第三方应用商店可用,从未在GooglePlay商店上架。该移动应用程序对安卓设备构成威胁,其功能是作为远程访问木马(RAT)接收和执行命令,收集和上传各种数据,并执行各种恶意行为,如下所示:从即时通讯工具中窃取信息;通信工具数据库文件(如果有root权限);检查浏览器书签和搜索历史;搜索具有特定扩展名(包括.pdf、.doc、.docx和.xls、.xlsx)的文件;检查剪贴板数据;检查通知内容;录制音频;电话录音;定期拍照(通过前置或后置摄像头);列出已安装的应用程序;窃取图像和视频;监控GPS位置;窃取电话通讯录;窃取通话记录;窃取设备信息(如已安装的应用程序、设备名称、存储统计信息);通过从设备的抽屉/菜单中隐藏图标来隐藏图标的存在。安装后(来自第三方商店,而非GooglePlay商店),设备详细信息将注册到Firebase命令和控制(C&C)服务器,其中包括是否存在WhatsApp、电池百分比、存储状态、从Firebase消息服务和网络连接类型。该恶意软件有两个选项“update”和“refreshAllData”来更新设备信息。两者的区别在于“update”只收集设备信息并发送给C&C,而“refreshAllData”还会生成新的Firebase命令卡和数据泄露。获取受害者的网络连接类型是因为当使用Wi-Fi时,所有被盗数据都会发送到C&C,而当受害者使用移动数据连接时,只会将一组特定的数据发送到C&C。通过Firebase消息服务接收的命令会在设备上启动一些功能,在此期间Firebase通信仅用于发出命令,而专用的C&C服务器通过POST请求收集被盗数据。恶意软件将收集到的内容作为加密的ZIP文件上传到C&C服务器,并在收到C&C服务器接收上传文件的“成功”响应后在本地删除该文件。该恶意软件还非常注重收集数据的“新鲜度”,自动丢弃超过一定时间的旧数据。例如,位置数据是从GPS或网络(以较新者为准)收集的,如果这个最新值距信息收集时间超过5分钟,它决定再次从头开始收集和存储位置数据。使用设备相机拍摄的照片也是如此,它最多只能上传40分钟前的数据。如果用户对设备进行root操作,间谍软件还会通过从WhatsApp复制文件来窃取WhatsApp数据库文件。Zimperium研究人员认为,考虑到窃取方法的多样性及其逃避检测的技巧,该间谍软件的功能非常罕见。目前,Zimperium也已经公布了C&C服务器的地址,供安全人员检测。C&C服务器:hxxps://mypro-b3435.firebaseio.comhxxps://licences.website/backendNew/public/api/本文转自OSCHINA文章标题:新的Android恶意软件伪装成“系统更新”到窃取用户数据本文地址:https://www.oschina.net/news/135223/android-malware-posing-as-system-update
