0
本文作者: 又田 | 2019-04-04 11:15 |
雷锋网4月3日消息,研究人员在谷歌官方应用 Google Play 中发现了一款未知间谍软件。有意思的是,这款间谍软件与美国国家安全局(NSA)没有联系,反而和购买了监控摄像头的意大利政府扯上了关系。
这一软件由 Motherboard和Security Without Borders(一个非营利组织,经常调查持不同政见者和人权维护者被威胁事件)的研究人员联合调查发现,Motherboard表示,这是安全研究员首次接触到由监视公司生成的恶意软件,其被称为 eSurv。
根据上周五安全无国界组织发布的调查结果技术报告,发现 eSurv 在两年内多次上传至 Google Play 商店,在Play商店中保留数月后重新上传。
Motherboard方表示,他们初步推断该恶意程序来自意大利政府,而且是从销售监控摄像头的公司购买的。因为在eSurv中的代码中发现了意大利文字片段,例如来自卡拉布里亚的方言词“mundizza”,以及来自卡拉布里亚的著名退休足球运动员RINO GATTUSO的名字(这是eSurv所在地区)。
eSurv 在发出连接命令并控制服务器后会调用恶意软件 Exodus,Exodus 有两副面孔。表面上伪装成无害的应用程序,执行接收意大利当地手机提供商的促销和营销服务或者提供优化设备性能的功能。暗地里却进行数据收集,其中收集的信息包括:用户已安装的应用程序、浏览历史记录、通讯录、短信、位置数据、Wi-Fi密码等。这些信息被收集后打包发送至控制服务器,背后操控者可以轻易获取。
更可怕的是,Exodus还可以激活摄像头和麦克风来捕获音频和视频,并在使用时对应用程序进行屏幕截图。
另外,Exodus包含了一个名为“CheckValidTarget”的函数,该函数据说可以“验证”新感染的目标。但研究人员表示,由于恶意软件立即在他们使用的刻录机手机上激活,所以没有太多“验证”正在进行,并在整个测试过程中保持活跃。
更有意思的是,Exodus 代码没有采取保护措施。意味着这款间谍软件在受感染的手机上打开了一个远程命令shell,但没有使用任何加密或身份验证,因此与受感染设备在同一Wi-Fi网络上的任何人都可以对其进行入侵。例如,如果受感染的设备连接到公共Wi-Fi网络,任何其他主机都能够简单地连接该端口,无需任何形式验证。
也就是说,间谍软件不仅可以窥探了用户数据,更可能间接导致这些数据被篡改。
事实上,几乎每隔一段时间 Google Play 就会被曝出隐藏恶意软件,对于Google Play用户来说,似乎已经习以为常:
2018年1月,趋势科技的研究人员在Google Play上发现了36个恶意应用程序,有些应用甚至被当做安全工具使用;
2018年2月,谷歌宣布在2017年删除了超过70万款不良APP,阻止了100,000恶意应用程序的开发人员分享恶意软件;
2018年5月,SophosLabs发现照片编辑器应用程序隐藏了Google Play上的恶意软件;
2018年12月,Sophos的研究人员再次发现恶意软件,这些应用程序在未经用户允许的情况下下载文件,并最终耗尽用户手机的电量。最终Google Play商店下架了22款恶意软件;
2019年2月,研究人员在谷歌官方应用Google Play中发现了一种名为“clipper”的恶意软件。该恶意软件会自动拦截剪贴板的内容,并使用攻击性内容将其替换掉。在加密货币交易的情况下,受影响的用户最终可能会将复制的钱包地址悄悄切换到攻击者的地址……
雷锋网 VIA nakedsecurity
雷锋网文章
雷峰网原创文章,未经授权禁止转载。详情见转载须知。