目录导航
我们在去年检测到的许多恶意软件活动都是大规模全球性的,针对几乎不考虑其位置的任何人。最近,我们发现并开始监控 PhoneSpy 背后的活动,PhoneSpy 是一种针对使用 Android 设备的韩国居民的间谍软件。有超过一千名韩国受害者,这个侵入性活动背后的恶意组织可以访问他们设备上的所有数据、通信和服务。
与我们介绍的其他利用设备漏洞的间谍软件活动不同,PhoneSpy 隐藏在显眼的地方,将自己伪装成一个常规应用程序,其目的范围从学习瑜伽到看电视和视频,或浏览照片。但实际上,该应用程序正在窃取 Android 手机的数据、消息、图像和远程控制。从受害者设备窃取的数据范围从个人照片到公司通信。受害者向恶意行为者广播他们的私人信息,零迹象表明有什么不对劲。
虽然受害者仅限于韩国,但 PhoneSpy 是恶意应用程序如何掩饰其真实意图的一个例子。当安装在受害者的设备上时,他们会将个人和公司数据置于危险之中。随着移动设备在分布式和远程工作中发挥关键作用,PhoneSpy 等间谍软件活动呈上升趋势也就不足为奇了。
在任何 Android 应用商店中都没有发现 PhoneSpy 的样本,表明攻击者正在使用基于 Web 流量重定向或社会工程的分发方法。
一旦获得控制,攻击者就可以访问摄像头来拍照、录制视频和音频、获取精确的 GPS 位置、查看设备中的图片等等。
Zimperium zLabs 在日常威胁研究中发现了 PhoneSpy 间谍软件应用程序,zLabs 团队在识别出多个相关的恶意应用程序后启动了调查。
披露:由于此间谍软件活动的性质,Zimperium 已通知并向美国和韩国当局提交了所有相关威胁数据。Zimperium 团队还多次向命令和控制服务器的主机报告,为删除恶意服务提供支持。在撰写本文时,PhoneSpy 间谍软件活动仍处于活跃状态。
在这篇博客中,我们将:
- 涵盖Android间谍软件的功能;
- 讨论用于收集和存储数据的技术
- 显示与 C&C 服务器的通信以窃取被盗数据。
PhoneSpy 间谍软件可以做什么?
该移动应用程序通过充当高级远程访问木马 (RAT) 来对 Android 设备构成威胁,该木马接收和执行命令以收集和泄露各种数据并执行各种恶意操作,例如:
- 已安装应用程序的完整列表
- 使用网络钓鱼窃取凭据
- 窃取图像
- 监控 GPS 位置
- 窃取短信
- 窃取手机通讯录
- 窃取通话记录
- 实时录制音频
- 使用前后摄像头实时录制视频
- 访问相机以使用前后摄像头拍照
- 使用攻击者控制的文本向攻击者控制的电话号码发送短信
- 泄露设备信息(IMEI、品牌、设备名称、Android 版本)
- 通过从设备的抽屉/菜单中隐藏图标来隐藏它的存在
感染后,受害者的移动设备将传输准确的 GPS 位置数据,与命令和控制服务器共享照片和通信、联系人列表以及下载的文档。与我们见过的其他移动间谍软件类似,从这些设备中窃取的数据可用于个人和企业敲诈和间谍活动。然后,恶意行为者可以制作关于受害者的笔记,下载任何被盗材料,并收集其他恶意行为的情报。
PhoneSpy 间谍软件如何工作?
PhoneSpy 间谍软件将自己伪装成各种针对韩语用户的生活方式应用程序。它很可能是通过网络流量重定向或社会工程传播的,因为它尚未在 Android 商店(包括第三方或区域商店)中检测到。安装后,该应用程序请求权限并打开一个仿冒韩国流行消息应用程序“Kakao Talk”登录页面的网络钓鱼页面来窃取凭据。
该应用程序遵循间谍软件的典型行为,要求获得行使其功能的权限。
安装并启动后,该应用程序会显示一个登录页面,并试图窃取“Kakao”的凭据,该凭据可用于通过单点登录功能登录韩国的其他服务。
在大多数发现的应用程序中,应用程序的用户/受害者交互仅限于上述登录,只会收到错误消息。许多应用程序是真实应用程序的外观,没有任何宣传的基于用户的功能。在其他一些情况下,例如作为照片查看器做广告的更简单的应用程序,当 PhoneSpy 间谍软件在后台运行时,该应用程序将像广告一样工作。
当这些操作在前台进行时,间谍软件会滥用其权限并充当远程访问特洛伊木马程序,从而使威胁参与者可以访问该设备。间谍软件通过仅上传上次上传后创建的最新数据来确保避免数据冗余,如图所示。
命令和控制服务器存储所有泄露的数据,并与受感染设备保持通信通道以发送命令。
命令表和相应的动作如表 1 所示。
| 命令 | 动作 |
| 0 | 上传手机信息,如Phone.No、IMEI、Android版本和型号名称 |
| 1 | 上传整个联系人列表 |
| 2 | 删除与电话号码匹配的联系人 |
| 3 | 上传设备中存储的所有短信 |
| 4 | 上传自上次上传以来的最新通话记录 |
| 5 | 上传SD卡中的所有照片 |
| 6 | 从 SD 卡上传所有视频 |
| 7 | 获取实时 GPS 位置 |
| 8 | 根据 C&C 服务器的指示,向包含内容的电话号码发送 SMS |
| 9 | 使用前置摄像头拍照并上传到 C&C 服务器 |
| 10 | 使用后置摄像头拍照并上传到 C&C 服务器 |
| 11 | 使用前置摄像头的实时视频流 |
| 12 | 使用后置摄像头的实时视频流 |
| 13 | 设置实时录音的持续时间 |
| 14 | 上传录制的音频文件 |
| 16 | 添加呼叫转移 |
| 17 | 移除呼叫转移 |
| 18 | 更新呼叫转移 |
| 21 | 按照 C&C 服务器的指示删除电话号码的屏蔽名单 |
| 22 | 按照 C&C 服务器的指示添加电话号码的阻止列表 |
| 24 | 收集已安装的应用程序列表,包括图标、应用程序版本、包名称和更新日期。 |
| 25 | 卸载与包名匹配的应用程序 |
| 28 | 从 C&C 服务器发送的链接下载 apk 并安装应用程序作为更新 |
| 30 | 按照 C&C 服务器的指示插入带有姓名和电话号码的联系人 |
| 31 | 删除存储在受感染设备中的所有短信 |
| 32 | 删除存储在受感染设备中的所有通话记录 |
| 33 | 打开用于通过网络钓鱼获取凭据的 C&C 服务器发送的 URL。 |
命令和控制服务器具有基于 Web 的界面,并通过使用凭据的身份验证机制进行保护,如图所示。
该应用程序能够卸载任何用户安装的应用程序,包括移动安全应用程序。恶意行为者可以实时获得设备的精确位置,而受害者都不知道。间谍软件还使威胁参与者能够使用网络钓鱼页面来获取 Facebook、Instagram、Google 和 Kakao Talk 的凭据,就像图 13-15 中所示的网络钓鱼页面一样。攻击者使用命令“33”向设备发送网络钓鱼 URL,PhoneSpy 加载页面。输入到表单中的任何凭据都将发送回命令和控制服务器。
针对 Facebook、Google 和 Instagram 的钓鱼页面:
一些间谍软件应用程序的图标集合
PhoneSpy 间谍软件活动的受害者
迄今为止,Zimperium zLabs 移动威胁研究团队确定了 23 个针对韩国公民的应用程序,该间谍软件活动感染了数千名受害者。这些恶意 Android 应用程序设计为在后台静默运行,不断监视受害者而不会引起任何怀疑。我们相信负责 PhoneSpy 的恶意行为者已经收集了大量有关受害者的个人和公司信息,包括私人通信和照片。
尽管成千上万的韩国受害者成为间谍软件活动的牺牲品,但尚不清楚他们之间是否有任何联系。但是,由于能够代表受害者下载联系人列表和发送 SMS 消息,恶意行为者很有可能将当前受害者的连接作为网络钓鱼链接的目标。
Zimperium 与 PhoneSpy 间谍软件
Zimperium zIPS 客户可以通过我们的设备上z9 移动威胁防御机器学习引擎抵御 PhoneSpy 。
Zimperium 设备网络钓鱼分类器使用我们基于机器学习的技术从一开始就检测来自域https[:]//acd.kcpro.ga 的流量为恶意流量,阻止所有流量并防止攻击者有效控制任何受感染的设备。
还使用 Zimperium 的应用程序分析平台 z3A 对发现的所有受感染和恶意应用程序进行了审查。所有这些应用程序都向最终用户返回了高隐私和安全风险的报告。Zimperium 管理员可以创建风险策略,防止用户安装 PhoneSpy 等高风险应用程序。
通过我们的 z3A 服务分析 PhoneSpy 感染的应用程序确定的主要隐私风险是:
- 访问 SMS 消息、相机、通话记录、联系人和位置等。
- 录制音频、视频和拨打电话的功能。
- 使用 MQTT 库,可用于跟踪用户。
- 访问设备信息,例如电话号码、设备 ID,如果通话处于活动状态(以及通话时使用的电话号码)。
- 篡改电话,可以修改正在拨打的电话号码。
- 对 SD 卡的读/写访问。
- 公开的 API 密钥。
关键 我们对受PhoneSpy 感染的应用程序的z3A 服务分析确定的主要隐私风险是:
- 未分配权限的公开服务。
- 启用 WebView,可用于执行 JavaScript 代码。
- z9 引擎检测到恶意软件。
- 该应用程序是使用调试标志构建的。
- 使用系统级权限和可访问性权限。
- 可以修改WiFi连接。
- 具有执行覆盖攻击的能力(银行木马使用的主要技术之一)。
为确保您的 Android 用户免受 PhoneSpy 间谍软件的侵害,我们建议您进行快速风险评估。任何带有 PhoneSpy 的应用程序都将在设备和 zConsole 中被标记为可疑应用程序威胁。管理员还可以查看哪些应用程序被侧载到设备上,从而增加了移动攻击面并使数据和用户处于危险之中。
PhoneSpy 间谍软件对全球企业的影响
PhoneSpy Android 间谍软件活动使企业面临的风险与消费者一样多,甚至更多。自带设备 (BYOD) 政策的兴起模糊了工作数据和个人数据之间的界限,对企业连接设备安全性的任何妥协都会使所有企业数据面临风险。PhoneSpy 等间谍软件能够在企业或最终用户不知情的情况下读取企业消息、安装受损版本的企业应用程序以及下载本地存储的数据(如文档和照片)。在面对面会议期间打开移动摄像头和麦克风的功能对企业来说也是一个高风险。这些功能与 PhoneSpy 的通用框架和方法相结合,会影响企业的安全性,泄露关键和私有数据,并导致客户、研究和数据的丢失。
侵害指标(IOCs)
C&C 服务器
1.234.82[.]23
1.234.82[.]31
175.126.146[.]147
https[:]//acd.kcpro.gaSHA-256 哈希值和应用程序名称
| 1b762680c64d851151a829e2679c68b4ea19aa825b6fe3866a191bf3d30fac70 | Videos |
| 4afbbc8247f0622bb7f40beeaff38083fe1514233c0e545b4ac11e17896548a2 | Picture |
| 7ca71565ac1f57725606fd92033928fbd727b810cd507f9d7b0ca2c89853abcf | Secret TV |
| 45d26f6d4a98ea352aa4411b861ddbee388546326567ce893124bbc8a0d1817b | 영상 – videos |
| 84d3e71dc27f7adfb9c6ac628dd240498059b82ec211c99e8ec63e3bc26240ba | Daily Yoga |
| 95de5f5533e6f9a7562e50b4f68bd5ce71227f52a1a9c15ee734cdfb59b27f1d | 갤러리 – Gallery |
| 208d68c431d58e6d311ae0f2574fab85a1205fc1597e10690116bf406eb5499c | Vera |
| 3125ba3f8ad308f93ecc2e167d4f4ecfccc6a1212795ac615e593dceff1ca795 | 동영상 – Videos |
| 4687ef5f6b9398f2bf3ac84011afce3979145a42f29d35e8fd3ad1b086699952 | 갤러리 – Gallery |
| 58195ad6606265c2d5d34f9b17d81daafc0a65551d8b83d9669a7e96ede786c1 | 내꺼사진 – My Picture |
| 70176c319aa4ca24c4cbfdf2b80a8d5ca430fc8370e2515b79f3c3c52ed58dc1 | 음성지원 – Voice Support |
| 1568520923f992612163a69d074580885deec03f2727824407f0371cc295aec5 | Gallery |
| af5d676ceecd28c83b8962fc5db012cdada7812cddf856ae63f735a3efd695b7 | 갤러리 – Gallery |
| b3132e4cd475c381f2ec384b9055ee11ae80b529dcc78f03629106e2d12a50f6 | Vera |
| b3333e2542a8d407d7ed6a2f0930d4372a84c9f95478d72ba1d6999c1c4ce74f | 클라우드 – Cloud |
| beeb1010ca571221b0aa8604f1bf078331b06e378384f8651552b13aa20c9389 | 야동 – Porn |
| c6793fcb9c647d0439a5bbeec46b5e24afc1e55b8e980669b3c1726d6556c72a | Vera |
| cf03a179b2b8d6a85a6ad3e5cd7405fe9a99c6ce89c6635d8c5d34bc9889b2ba | Gallery |
| d4b6a0055fbaec51c6a2d5edd29eec7768a27b40a6da94223ded28df3726487d | 1004 Yoga |
| d797bf2b4fd7a2cd38da819996e57b39b89ad0e65a0d9633ea332d8234368ce3 | 갤러리 – Gallery |
| d4428d5eb4f746b3d136d4dbeb3907c82a9ac7fa18efd037d616f2f11dc235ac | 한나TV – Hannah TV |
| ef467f2389063e044237587ef12f8b0ae37d5b31c5b4efbf0928dfe5b648ed5a | Gallery |
| ef29420420802265d3958e05c33badad17d982309bd6f877d15475e64c793692 | 보안카메라 – Security Camera |
关于 Zimperium
Zimperium 提供唯一专为企业环境构建的移动安全平台。凭借基于机器学习的保护和一个单一平台,可以保护从应用程序到端点的所有内容,Zimperium 是提供设备上移动威胁防御以保护不断发展和发展的移动环境的唯一解决方案。如需更多信息或安排演示,请立即联系我们。[雨苁:不知道zimperium,总该知道zanti吧,zanti就是zimperium出品]
