新的Android恶意软件框架将应用程序变成强大的间谍软件

安全研究人员发现了一个新的，功能强大的Android恶意软件框架，网络犯罪分子利用该框架将合法应用程序变成具有广泛监控功能的间谍软件 - 这似乎是针对性的间谍活动的一部分。

与恶意软件框架捆绑在一起的合法Android应用程序，被称为Triout，通过录制电话，监控短信，秘密窃取照片和视频以及收集位置数据，获得监视受感染设备的能力 - 所有这些都是在用户不知情的情况下完成的。

5月15日，Bitdefender的安全研究人员首次发现了基于Triout的间谍软件应用程序，当时有一个恶意软件样本由位于俄罗斯的人上传到VirusTotal，但大部分扫描来自以色列。

在白皮书中（PDF）Bitdefender研究员Cristofor Ochinca周一发布称，他们分析的恶意软件样本被打包在一个恶意版本的Android应用程序中，该应用程序于2016年在Google Play上提供，但后来被删除。

恶意软件是非常隐秘的，因为Android应用程序的重新打包版本保持了原始应用程序的外观和感觉，并且功能与它完全一样 - 在这种情况下，研究人员分析了一个名为“性游戏”的成人应用程序来欺骗其受害者。

然而，实际上，该应用程序包含一个恶意的Triout有效负载，它具有强大的监视功能，可以窃取用户的数据并将其发送回攻击者控制的命令和控制（C＆C）服务器。

根据研究人员的说法，Triout一旦危及系统就可以执行许多间谍活动，包括：

• 记录每个电话呼叫，以媒体文件的形式保存，然后将其与呼叫者ID一起发送到远程C＆C服务器。
• 将每个传入的SMS消息记录到远程C＆C服务器。
• 将所有呼叫日志（包括名称，号码，日期，类型和持续时间）发送到C＆C服务器。
• 每当用户使用前置或后置摄像头拍摄照片或录制视频时，每个图片和视频都会发送给攻击者。
• 能够在受感染的设备上隐藏自己。

但是，尽管恶意软件具有强大的功能，研究人员发现恶意软件不使用混淆，这有助于研究人员仅通过解压缩APK文件就可以完全访问其源代码 - 这表明恶意软件是一项正在进行的工作。

“这可能表明该框架可能正在进行中，开发人员正在测试功能和与设备的兼容性，”Ochinca说。

“截至本文撰写时，应用程序似乎向其发送收集数据的C＆C（命令和控制）服务器似乎正在运行，并且自2018年5月开始运行。”

虽然研究人员无法找到这个重新包装版本的合法应用程序的分发方式以及成功安装的次数，但他们认为恶意应用程序是通过第三方应用商店或其他攻击者控制的域名传递给受害者的可能用于托管恶意软件。

Ochinca解释说，分析的Triout样本仍然使用真实的Google调试证书进行签名。

当时，没有证据指向攻击者，或者确定他们是谁以及他们来自哪里，但是显而易见的是攻击者非常熟练且充满资源以开发复杂形式的间谍软件框架。

保护自己避免让受害者陷入此类恶意应用程序的最佳方法是始终从受信任的来源（如Google Play商店）下载应用程序，并且只向经过验证的开发人员提供。

此外，最重要的是，在授予任何应用程序权限阅读您的邮件，访问您的通话记录，您的GPS坐标以及通过Android传感器获得的任何其他数据之前，请三思而后行。