线索指向不太成熟的攻击者

Android的一系列新间谍软件通过其不同寻常的功能和来源实现吸引了安全研究人员的注意。

卡巴斯基的安全专家使用Tagged BusyGasper，该恶意软件能够监控目标手机上的各种传感器。基于运动检测日志，它可以识别运行和停止其活动的适当时间。

分析其功能，研究人员注意到BusyGasper中的一个功能，它允许它计算设备的速度。间谍软件使用此信息来确定受害者何时不使用电话，并使设备在处于活动状态时看起来好像处于待机模式。

卡巴斯基的Alexey Firsh在分析中写道，它使用“使设备静音，禁用键盘，关闭亮度，使用唤醒锁定并监听设备传感器”的命令。

当受害者拿起电话然后模拟按下主页按钮以最小化当前活动时，BusyGasper立即运行禁用其后门操作的指令。

间谍软件还可以从其他传感器访问日志（气温和气压），这可以为攻击者提供有关受害者行踪状况的更多信息。

线索指向技能较低的攻击者

虽然BusyGasper自2016年以来似乎处于活跃状态，但它并不普及，似乎是单个威胁行为者的工作，在运行恶意软件活动方面经验不足。

研究人员注意到，开发人员没有在间谍软件中实现加密组件，并使用免费的公共FTP服务器（俄罗斯网络托管服务提供商Ucoz）进行命令和控制。

通过C2服务器上的数据进行翻新

命令和控制服务器包含带有命令和受害者标识符的文本文件。看起来间谍工具只感染了七部手机，但其中三部似乎是测试设备。

恶意软件可以访问属于攻击者的电子邮件收件箱，在该收件箱中可以查找特定文件夹中的新命令和有效负载。它还使用该地址来泄露来自受损设备的数据。

Firsh说，电子邮件帐户中的信息包括受害者个人数据的大量缓存，以及来自IM应用程序的邮件。

“收集的其他数据包括短信银行信息，其中显示余额超过10,000美元的账户。但据我们所知，此次活动背后的攻击者并不想偷窃受害者的钱，”研究人员补充说。

键盘记录组件实现扭曲

键盘记录功能已由BusyGasper的作者以原始方式实现。

首先，它记录屏幕上的所有点击并收集它们的坐标。接下来，它通过将其位置与一组硬编码值进行匹配来确定字符。

安装后，它会在新窗口中创建一个TextView组件，该窗口能够显示文本。特定参数用于使元素对用户不可见。

为了确保正确获取所有细节，键盘记录器还可以截取受害者拍摄的区域的屏幕截图。

将恶意软件传递给目标似乎是手动发生的，攻击者物理地访问手机以安装植入物。缺乏鱼叉式网络钓鱼或其他常见载体的证据支持了这一结论。