Zimperium研究人员发现了一种具有扩展监视功能的Android恶意软件,可以从受感染的Android设备窃取数据、消息和图片,并控制Android设备的移动设备。该恶意软件以系统更新研究的形式通过第三方应用商店安装,但不会出现在谷歌的官方应用商店中。因此,能够感染的设备数量非常有限,因为大多数有经验的用户将无法安装它。此外,该恶意软件的传播能力有限,无法感染其他安卓设备。功能:信息窃取该恶意软件用作远程访问特洛伊木马(RAT),以收集信息并将其窃取到其C2服务器。Zimperium分析发现该恶意软件的功能包括:窃取即时通讯应用中的信息;如果系统被root,它还可以窃取即时通讯应用程序中的数据库文件;查看默认浏览器的书签和搜索历史;查看GoogleChrome、Mozilla书签和Firefox、SamsungInternet浏览器的搜索历史记录;搜索具有特定扩展名的文件,例如.pdf、.doc、.docx、.xls和.xlsx;查看剪贴板数据;查看通知内容;录制音频;记录内容;定期通过前置或后置摄像头拍照;列出已安装的应用程序;窃取图像和视频文件;监控GPS位置;窃取短信;窃取通话记录;窃取设备信息,例如已安装的应用程序和设备名称、存储数据等。成功安装后,恶意软件可以将收集到的信息片段发送到FirebaseC2服务器,包括存储的数据、连接类型以及是否有其他应用程序,例如WhatsApp,已安装。如果Android系统有root权限或者开启了AccessibilityServices,监控恶意软件可以直接采集数据。此外,恶意软件还会扫描用于存储或缓存数据的外部存储,收集数据,并在用户连接到WiFi网络后将其传输到C2服务器。隐藏和绕过与其他数据窃取恶意软件不同,此恶意软件仅在使用Android的contentObserver和广播接收器满足特定条件时才会触发。满足条件包括创建新联系人、创建新文本消息或安装新应用程序。从Firebase消息服务接收到的命令会启动录制音频、窃取SMS消息等操作。Firebase通信仅用于发出命令,专用C2服务器通过POST请求收集被盗数据。当恶意软件收到新命令时,它会显示一个虚假的“搜索更新..”系统更新通知,如下图所示:虚假系统更新提醒恶意软件还可以通过隐藏菜单中的图标来隐藏它的存在。为了进一步逃避检测,恶意软件只窃取视频和图像的缩略图,从而减少受害者的带宽消耗,避免因高带宽消耗而被检测到。此外,该恶意软件只会窃取最近的数据,收集过去几分钟内生成的位置数据和照片。Zimperium完整的技术分析报告可以在https://blog.zimperium.com/new-advanced-android-malware-posing-as-system-update/本文翻译自:https://www.bleepingcomputer.com/news/security/new-android-malware-spies-on-you-while-posing-as-a-system-update/如有转载请注明出处。
