追踪、定位、监听一个也不能少:最强悍的监控间谍软件FlexiSPY源码泄露

4月22日,黑客FlexiDie公布了大量来自监控软件厂商FlexiSPY的文件,泄露的文件包括源码和一些内部文档。

这家监控公司其实是一家总部位于泰国(一说位于中国香港)的小公司,官网显示其主要的目标客户包括希望监控员工的老板、想要监控孩子手机的父母,还有想要监控伴侣的夫妻,第三类客户显然是最多的。

《福布斯》今年2月曾对这类监控软件进行过报道,报道指出,在2015年妇女援助组织对693名妇女的调查中,有29%的受访者表示,他们的手机或电脑上曾被伴侣或者前任安装间谍软件或GPS定位器。

但FlexiSPY的客户可不止官网上宣传的这些。此次遭泄密的文件还显示,旗下的监控软件还出售给了土耳其、沙特阿拉伯和巴林政府。

FlexiSPY还与其他监控软件厂商存在一定的联系,FlexiSPY软件可能还被用在了另一款由Gamma公司开发的软件中,这家公司是英德监控公司。

根据泄露的文档, FlexiSPY的工作人员曾协助Gamma工作人员安装件“Cyclops”,这款软件被用在Gamma自己的监控程序FinSpy上。

Gamma在2012年将FinSpy卖给巴林政府。2015年,有证据显示包括埃及,沙特阿拉伯,土库曼斯坦和委内瑞拉在内的国家政府使用这些监控软件。维基解密SpyFiles系列声称,FinSpy被用来监视“记者,活动家和政治异议人士”。2014年,一名黑客入侵了Gamma International内网,公开了40GB的内部文档和恶意程序源代码(BT种子),曾经轰动一时。

1、监控能力

官网的信息显示,FlexiSPY能够监控的范围包括“所有电脑&Mac用户的活动”,设备涵盖“安卓、苹果, iPad, PC 和 Mac”。不过小编询问客服后了解到,FlexiSPY支持的windows系统包括Windows 7、Windows 8, 8.1和Windows 10。并且对Windows Mobile尚无支持。

FlexiSPY能够监控的内容包括:

PC端:

监控信息 & 键盘录入

Webmail

Webmail 截图

键盘记录

Skype

LINE

QQ

Yahoo Messenger

Hangouts

Trillian

Viber

AIM

iMessage

微信

监控互联网 & 应用程序

已经浏览过的网页

浏览器历史记录

浏览器视频

应用程序使用

已安装的应用程序

监控网络 & 打印情况

监控网络连接

监控打印机使用情况

监控文档活动和用户

文档活动信息

文件传输

U盘连接

桌面屏幕截图

监控用户登录/登出

什么时间锁屏

远程监控

远程卸载软件

远程注销软件

远程更改软件功能

秘密监控

在开始菜单里隐藏软件

从系统托盘中隐藏软件

从任务管理器中隐藏软件

显示/隐藏软件图标

阻止软件被卸载

通过安全密钥组合访问

移动端:

Facebook, LINE, Viber, 微信, Skype, iMessage, 短信, BBM, WhatsApp, KIK

通话记录、通讯簿、便签、日历;

照片、视频、音乐、壁纸;

应用程序、书签、网页历史记录、位置。

监听和记录通话内容;

控制麦克风和摄像头;

恶搞工具。

但值得一提的事,安装FlexiSPY必须有操作那些设备的物理权限,软件不能远程安装。

2、泄露软件分析

IOC

下面的这些URL和字符串都是给反病毒厂商做分析的,用于识别设备有没有被感染。

URL

http://58.137.119.229/RainbowCore/ (发现在com.vvt.phoenix.prot.test.CSMTest中)

“http://trkps.com/m.php?lat=%f&long=%f&t=%s&i=%s&z=5” (发现在source//location_capture/tests/location_capture_tests/src/com/vvt/locationcapture/tests/Location_capture_testsActivity.java:)

有一个IP地址在代码中被备注了

//private String mUrl = “http://202.176.88.55:8880/

字符串

以下字符串存在于/source/phoenix/test/phoenix_demo/src/demo/vvt/phoenix/PhoenixDemoActivity.java中:

“/sdcard/pdemo/”;

“http://58.137.119.229/RainbowCore/“;

“http://192.168.2.116/RainbowCore/“;

“gateway/unstructured”;

/sdcard/data/data/com.vvt.im”

软件概览

以下的分析是通过逆向两款Android应用和通过检查泄密的源代码获得的。源码的版本是1.00.1,而Android应用的版本号是2.24.3和2.25.1。版本号非常重要,因为1.00.1版本只能够监控一款即时通讯软件,而2.24.3能够监控的软件多达十几款。

应用会针对设备root与否进行区别对待。如果设备被root,软件就会进行一系列操作确保能够驻足系统。还不确定软件是否有能力对未root的设备进行root操作。

监控软件支持的指令包括:录音,视频录制,电话录音(包括呼入呼出)、擦除数据,短信拦截,短信关键词监控,监控摄像头照片,通讯录,日历信息,地理位置跟踪,Gmail应用消息,除此之外,软件还有一系列插件用来监控特定的即时通讯软件。不过针对其他软件如whatsapp, snapchat可能需要在root的设备上完成。

应用程序监控

软件中的模块可以提取各种应用程序的敏感信息。 一般来说,这些应用程序数据是受到保护的,但是如果手机被root,间谍软件就可以获取任何应用程序的敏感信息。

WhatsApp

Snapchat

Snapchat监控插件代码

3、财务状况

Motherboard获得的一份2016年的文件称,FlexiSPY的每月收入为40万美元。据说公司创始人Atir Raihan生活奢侈,花了大部分时间来度假和聚会。

名为“离岸(offshore)”的泄露ppt显示,该公司与MossackFonseca公司(巴拿马文件背后的公司)一样都注册于塞舌尔。

而一份泄漏的表格则显示有22个国家的40多家公司曾经联系过这家公司。文件中列举的国家包括以色列,印度,中国,俄罗斯和美国,但不清楚这些公司是否购买了FlexiSPY。

遭遇文件泄漏后,FlexiSPY的用户登录门户已经下线,但是周六有人报道称它已经重新上线。

泄露文件地址:https://github.com/Te-k/flexidie

Mega网盘:

FlexiSpyOmni源码 https://mega.nz/#!AmZEjbrb!nehl_WgZAkkh9fuh_RSV8-KncLxW70eP83tEWsnq2EE

FlexiSpyOmni Binaries(flexidie) https://mega.nz/#!hmRwCJwT!aKoKEvF29z3j4uGaSxZuBkqfdeY5ARVa-ghuYmMRhkU

FlexSpy 软件分析 http://www.cybermerchantsofdeath.com/blog/2017/04/23/FlexiSpy.html

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-04-24

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏即时通讯技术

解密“达达-京东到家”的订单即时派发技术原理和实践

达达-京东到家作为优秀的即时配送物流平台,实现了多渠道的订单配送,包括外卖平台的餐饮订单、新零售的生鲜订单、知名商户的优质订单等。为了提升平台的用户粘性,我们需...

24610
来自专栏FreeBuf

暗影追踪 | 谁是LeakedSource.com的幕后运营者?

在LeakedSource突然关停之际,安全专家Brian Krebs利用蛛丝马迹的线索,通过层层抽丝剥茧,顺藤摸瓜,最终确定了LeakedSource幕后运营...

32950
来自专栏郭润增的专栏

微信支付:如何打造移动支付时代的高可用收银系统?

移动支付时代,越来越多的人习惯于不带现金出门,许多支付场景只需要掏出手机就能完成。正因为如此,收银系统的可用性问题也越来越重要。如何打造移动支付时代的高可用收银...

1.2K00
来自专栏FreeBuf

Havex:以工控设备为狩猎目标的恶意软件

在过去一年,我们对Havex恶意程序家族及其背后的组织保持了高度的关注。Havex被认为以不同工业领域为目标进行攻击的恶意软件,并且在最初的报告中,该恶意软件对...

24090
来自专栏安恒信息

本周热点事件盘点

01 本周热点事件盘点 1.澳大利亚政府发布小型企业网络安全指南 【关键字:企业安全】 近日,澳大利亚政府小型企业与家族企业监察专员组(ASBFEO)发布了小型...

31560
来自专栏FreeBuf

钓鱼攻防对抗战的今日现状:防守方完全落后挨打

网络钓鱼主要用来骗取个人敏感信息,从而用于一些恶意目的。今天主要谈钓鱼用来做金融欺诈和身份盗窃的行为,包括对网银、购物等欺诈行为。随着上网人群的增多,钓鱼潜在...

24150
来自专栏FreeBuf

Google Play Store启动漏洞赏金计划保护Android应用

? Google终于发布了Google Play Store的漏洞赏金计划,安全人员可以寻找或者报告Android应用中存在的漏洞。 这个项目的名称为 “Go...

29050
来自专栏醉程序

博客换域名啦

19730
来自专栏FreeBuf

NSA工具DoublePulsar已入侵数万Windows设备,来看你是否也在其中?

背景 Shadow Brokers黑客组织上周泄露了NSA方程式组织的一些工具,其中名为DoublePulsar的后门程序可利用部分Windows系统(Wind...

256100
来自专栏Youngxj

web安全思维图

20390

扫码关注云+社区

领取腾讯云代金券