近日,網絡安全公司趨勢科技發現了一場目前正處於籌備階段的網絡間諜活動,攻擊者試圖使用一種名為“ProjectSpy”的間諜軟件感染瞄準了Android和iOS設備(趨勢科技分別將其檢測為AndroidOS_ProjectSpy.HRX和IOS_ProjectSpy.A)。
發現過程
根據趨勢科技的說法,他們是在上個月底偶然發現了一個偽裝成冠狀病毒疫情APP的ProjectSpy樣本(命名來源於APP的後端服務器登錄頁面)。
圖1.名為“Corona Updates”的虛假冠狀病毒疫情APP
圖2.ProjectSpy服務器登錄頁面
分析表明,該APP具有許多功能:
- 上載GSM、WhatsApp、Telegram、Facebook和Threema消息
- 上載語音便箋、已存儲的聯繫人、帳戶、通話記錄、位置信息和圖片
- 上載收集到的設備信息(例如,IMEI、主板、製造商、Android版本、應用程序版本、名稱、型號品牌、用戶、序列號、硬件、引導程序和設備ID等)
- 上載SIM信息(例如,IMSI、運營商代碼、國家/地區、MCC移動國家/地區、SIM序列號、營商名稱和手機號碼等)
- 上載wifi信息(例如,SSID、wifi速度和MAC地址等)
- 上載其他信息(例如,顯示、日期、時間、指紋、創建時間和更新時間等)
通過濫用通知權限來讀取通知內容並將其保存到數據庫,該APP能夠從多款流行的消息聊天APP中竊取消息。
圖3.攔截通知並將內容保存到數據庫中
圖4.濫用通知權限來讀取通知內容
ProjectSpy的早期版本
基於域名搜索,趨勢科技很快發現了於2019年5月出現在Google Play的另一個ProjectSpy版本。
圖5.2019年5月版本與2020年3月版本包含相同的域名
分析表明,2019年5月版本的ProjectSpy具有如下功能:
- 收集設備和系統信息(即IMEI、設備ID、製造商、型號和電話號碼)、位置信息、已存儲的聯繫人和通話記錄
- 收集併發送短信
- 通過相機拍照
- 上傳錄製的MP4文件
- 監聽通話
進一步搜索後,趨勢科技還發現了另一個偽裝成音樂播放器APP(名為“Wabi Music”)的ProjectSpy版本,其開發人員名為“concipit1248”。
圖6.偽裝成音樂播放器APP的ProjectSpy及其登錄頁面
分析表明,這個ProjectSpy版本具有與2019年5月版本相似的功能,但進行了如下修改:
- 增加了從WhatsApp、Facebook和Telegram竊取消息的功能
- 刪除了以FTP模式上傳圖片的功能
據說,除功能和外觀上的差異外,這兩個版本的ProjectSpy的代碼幾乎一模一樣。
iOS版本的ProjectSpy
基於代碼和“Concipit1248”的搜索,趨勢科技還在App Store中找到了另外兩個ProjectSpy應用程序。
圖7.App Store中的兩個ProjectSpy應用程序,開發人員名為“Concipit Shop”
在iOS應用程序的代碼中,趨勢科技找到了與ProjectSpy Android版本代碼中相同的服務器地址。
圖8.iOS應用程序的代碼顯示了相同的服務器地址
分析表明,這兩款iOS應用程序的間諜功能尚不完善,這可能意味著它們還處於開發階段。
結語
藉助社會熱點來傳播惡意軟件是網絡黑客常用的手段,這也是為什麼ProjectSpy在近期會被偽裝成冠狀病毒疫情APP的主要原因。
儘管功能尚不完善,但ProjectSpy的出現還是再一次給我們提了一個醒——一是,在下載某款APP之前,一定要仔細查看其下方的評論,尤其是差評;二是,在安裝的時候,一定要留意它所請求的權限,即使它來自官方應用商店。
