谷歌发现了一个潜伏了三年的Android间谍程序

近期,Google和Lookout的安全研究专家发现了一款非常复杂的Android间谍软件,它不仅可以从手机的聊天软件中窃取用户的隐私数据,还可以通过手机的摄像头和麦克风来监视用户的一举一动。更重要的是,它还可以进行自毁操作,而正是由于这款间谍软件拥有非常智能的自毁机制,因此它在三年之后的今天才被研究人员发现。

这款间谍软件名叫Chrysaor,攻击者此前曾使用这款Android间谍软件攻击以色列、格鲁吉亚、土耳其和墨西哥等国的活跃分子以及新闻记者。据称,这个间谍软件很可能是由以色列间谍公司NSO Group集团制作的,也就是去年利用iOS恶意软件Pegasus来攻击阿联酋人权活动家的那家公司。

外界广泛认为,NSO Group可以制作出地球上最先进的移动端间谍软件,而且他们会将这些产品出售给他国政府、执法机构以及独裁政权。

Chrysaor分析

这款名叫Chrysaor的Android间谍软件具备以下几种功能:

1. 从目前热门的App中窃取数据,受影响的应用包括Gmail、WhatsApp、Skype、Facebook、Twitter、Viber以及Kakao等。 2. 通过SMS短信来远程控制目标设备。 3. 在后台记录实时视频和语音信息。 4. 键盘记录和屏幕截图。 5. 禁用系统的自动更新以防止设备漏洞被修复。 6. 通过自毁机制来躲避检测。

Google的安全研究人员表示,他们已经通过VerifyApps确定了这一恶意软件的影响范围,并且相关人员也与很多潜在的感染用户取得了联系,及时清除了受感染设备上的恶意软件,并通过修改VerifyApps的响应机制来保护用户的安全。

这种威胁之所以难以检测到,是因为当它发现任何有可能威胁到自身的检测行为时,它可以将自己从目标设备中删除。Lookout的安全研究专家Michael Flossman是这样形容Chrysaor的:“如果Chrysaor感觉自己可能会被发现,那么它便会立刻将自己删除。”例如出现下面这几种情况时,Pegasus将会进行自毁操作:

1. SIM MCC ID无效; 2. 设备中存在与安全产品有关的文件; 3. 持续六十天无法与后台服务器连接; 4. 接收到服务器发送过来的自毁命令;

Lookout的研究人员认为,Chrysaor APK可以通过基于SMS的钓鱼信息来进行传播,就像Pegasus感染iOS设备一样。Chrysaor利用的是一个名叫Framaroot的著名Android漏洞,并利用这个漏洞来root目标设备并获取设备的完整控制权。更重要的是,在此期间NSOGroup很可能还发现了很多新的Android0 day漏洞,并将相应的漏洞利用代码更新到了新版本的Chrysaor间谍软件之中。

感染情况

Google的研究人员发现,受到这款恶意软件影响的用户大部分都位于以色列境内,还有一些受害者也分布在格鲁吉亚、墨西哥和土耳其等国家。

研究人员推测,攻击者很可能是通过钓鱼攻击来诱使目标用户下载恶意代码的,当这款恶意软件成功感染目标设备之后,它便会开启键盘记录功能,并从很多当前流行的App中窃取数据,例如WhatsApp、Facebook和Gmail等等。

其复杂程度不言而喻

由于Chrysaor的种种特性,Lookout也称其为目前最复杂的间谍软件。它的iOS变种甚至利用了三个此前未被发现的漏洞,而且还可以获取iOS设备的完整控制权并对用户进行监控。

当时,这款间谍软件感染了一名阿联酋人权主义者的手机,而这也是Chrysaor首次进入我们的视野。当时,他的手机收到了一条SMS文字短信,而这条短信中则包含有指向Chrysaor间谍软件的恶意链接。

在了解到这一事实之后,苹果公司也迅速发布了一个漏洞补丁。Lookout在拿到Chrysaor的Android端样本之后,便与iOS端样本进行比对,比对的结果也与Google的研究人员进行了共享。分析结果表明,与iOS端版本不同的是,Chrysaor的Android端版本并没有利用任何此前未知的安全漏洞,而利用的是很多老Android版本中的漏洞。

结束语

目前,GooglePlay应用商店中还没有发现Chrysaor的身影,而且受感染设备数量较低这一事实也意味着大多数用户不会遇到这个麻烦。

Lookout已经发布了一份关于Chrysaor的详细技术报告,其标题为《Pegasusfor Android: Technical Analysis and Findings of Chrysaor》,如果你还想了解更多关于Chrysaor的内容,请参考这篇详细报告。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-04-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏人工智能快报

2017年以色列将为全体公民构建 生物识别身份数据库

以色列《国土报》网站(www.haaretz.com)发布消息称,以色列将于2017年为全体公民构建生物身份识别数据库。 以色列内政部长Arye ...

312130
来自专栏BestSDK

新恶意软件通过原装USB用无线网偷走电脑秘密

2013年,前NSA(美国国家安全局)成员斯诺登就曾公开演示过间谍是如何通过一个改装过的USB设备悄悄偷走电脑中的数据。而就在近日,以色列的一家公司开发出了这一...

26680
来自专栏最新活动

AMD 1G内存1M带宽50G盘 服务器拼团活动

链接: https://cloud.tencent.com/act/group/amd/detail?group=54487 买3个月送1个月,最多买一年送4...

18400
来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(35)-SD-售前活动

SD 920售前活动 用途: 本业务情景描述使用询价、报价和合同功能的售前业务流程。 询价用于将客户的请求输入系统,以电子方式为其提供销售报价或存储询价。 报价...

37030
来自专栏效率达人

你有一份高效学习组合法待查收

PICK 是一款在手机端帮助你告别拖延症的效率工具,依托番茄钟的科学理论,加上趣味激励、清单打卡、好友监督等方式,让你随时随地给自己设定个小目标之后,踏踏实实的...

8920
来自专栏FH云彩

随笔——关于网站建设

25340
来自专栏FreeBuf

2014密码时代已死?六种旨在取代传统密码位置的新奇想法

今年早些时候,Adobe公司遭受数据泄露产生的的毁灭性破坏凸显出了这样一个事实现状:我们大多数人讨厌密码,而且我们中的很多人真的是非常非常的懒。 将近2...

250100
来自专栏安恒信息

Intel CPU漏洞,你不知道的那些事儿

话说, 今天要给大家说一个在业内已经轰动朝野, 然而吃瓜群众可能莫不关心的故事...... 让我用最不技术的语言,让大家了解下这其中的经过吧...... 如果大...

27660
来自专栏PPV课数据科学社区

利用人性弱点的互联网产品(四)窥视

人生来存在好奇心。小时候世界上所有事物都是未知的,对于周围一切的疑问和好奇成为窥探的最原始动力。成年后,这种对隐私的好奇即使成年后依旧被保留了下来。因此可以说只...

40880

黑暗领地 - 你知道你的信息在哪里吗?

原文地址:https://www.informationsecuritybuzz.com/articles/dark-territories-know-info...

13700

扫码关注云+社区

领取腾讯云代金券