「鑑貞服務」測試伴侶忠誠度不可怕,這些間諜軟體更難防

雷鋒網註：本文部分內容和數據節選自騰訊安全反詐騙實驗室與騰訊手機管家近日發布的《2017年Android「間諜軟體」年度總結報告》。想了解更多網絡安全的內容？歡迎關注雷鋒網旗下微信公眾號「宅客頻道」（微信ID：letshome）。

最近，雷鋒網(公眾號：雷鋒網)宅客頻道編輯小李不小心看到了一些奇怪的信息：XX花了26塊在X寶買鑑貞服務測試男朋友，結果發現他已經結婚半年了……

蛤？還有這種服務？點開詳情一看，原來是顧客僱傭客服妹子加上男友的社交軟體帳號進行調戲測試。

【圖片來源：史上最賤喵】

知識就是力量，這些測試男友忠誠度的妹子們一定不知道比「客服妹子」更可怕的是間諜軟體，悄悄藏匿在人們的手機中，記錄人的一言一行。

「間諜軟體」通常可以做到收集受害者的簡訊、聯繫人、通話記錄、通話錄音和網絡瀏覽記錄，或者遠程開啟攝像頭和麥克風，對目標進行監聽和監視。有些間諜軟體也可以竊取指定應用的數據，如 Whatapp、Gmail、Skype、Facebook、Twitter 以及微信、QQ 等。

除了這些竊取隱私的「尋常間諜軟體」，更有一些用於 APT 攻擊的「間諜軟體」甚至可以做到傳播病毒和木馬，以受害人手機為基礎和跳板，進一步攻擊最終目標，這類攻擊非常複雜和冒險，攻擊者往往需掌握著目標系統的 0day 漏洞才能成功。

一項數據表明，Android 間諜軟體樣本數量近兩年呈上升趨勢，其中 2017 年較 2016年上漲約 20%。

當然，這不是在教你幹壞事。也許你已經是受害者，那麼，讓我們站在正義的一方，以批判性的態度看看 2017 年以來到底有哪些間諜軟體正在侵犯人們的隱私，謀取不正當利益。

1、Chrysaor：攻擊多國活躍分子和記者

2017 年 4 月，Google 和 Lookout 的安全實驗室報導了一款非常複雜的 Android「間諜軟體」， 這款「間諜軟體」名叫 Chrysaor，被攻擊者用來攻擊以色列、喬治亞、土耳其和墨西哥等國的活躍分子以及新聞記者。

據稱，這款「間諜軟體」很可能是出自色列間諜公司 NSO Group之手，此公司2016年曾利用 iOS 端的惡意「間諜軟體」Pegasus來攻擊阿聯人權活動家。外界廣泛認為，NSO Group可以製作出最先進的移動端「間諜軟體」，且他們可能將這些產品出售給他國政府、執法機構以及獨裁政權。

Chrysaor 「間諜軟體」功能強大，不僅可以從手機的聊天軟體中竊取用戶的隱私數據，還可以通過手機的攝像頭和麥克風來監視用戶的一舉一動。更重要的是，它還可以進行自毀操作，而正是由於這款「間諜軟體」擁有非常智能的自毀機制，因此它在使用三年後才被研究人員發現。

Chrysaor「間諜軟體」具備以下幾種功能：

1.    從目前熱門的App中竊取數據，受影響的應用包括Gmail、WhatsApp、Skype、Facebook、Twitter、Viber以及Kakao等。

2.    通過SMS簡訊來遠程控制目標設備。

3.    在後臺記錄實時視頻和語音信息。

4.    鍵盤記錄和屏幕截圖。

5.    禁用系統的自動更新以防止設備漏洞被修復。

6.    通過自毀機制來躲避檢測。

Chrysaor「間諜軟體」擁有非常智能的自毀機制，當它發現任何有可能威脅到自身的檢測行為時，它可以將自己從目標設備中刪除。例如出現下面這幾種情況時，Pegasus 將會進行自毀操作：

1.    SIM MCC ID無效；

2.    設備中存在與安全產品有關的文件；

3.    持續六十天無法與後臺伺服器連接；

4.    接收到伺服器發送過來的自毀命令；

Lookout 的研究人員認為，Chrysaor 「間諜軟體」可以通過基於 SMS 的釣魚信息來進行傳播，就像 Pegasus 感染 iOS 設備一樣。且 Chrysaor 利用了名叫 Framaroot 的著名 Android 漏洞來 root 目標設備並獲取設備的完整控制權，以便其從熱門的 App 中竊取數據。更重要的是，從 Chrysaor「間諜軟體」最初使用至今，NSO Group 很可能還發現了很多新的Android 0 day漏洞，並將相應的漏洞利用代碼更新到了新版本的 Chrysaor「間諜軟體」之中。

2.Lipizzan 家族：偽裝成清理工具

2017 年 8 月，Google 披露了一款名為 Lipizzan 的 「間諜軟體」家族，此家族疑似由網絡武器公司 Equus Technologies 開發。 

Lipizzan的「間諜軟體」偽裝成具備清理功能、備份功能的應用程式來吸引用戶下載安裝，並在後臺偷偷連接伺服器，竊取用戶的電子郵件、簡訊、位置信息以及屏幕截圖等隱私數據。目前在谷歌應用商店中發現有的 20 多款應用屬於 Lipizzan 家族，感染用戶為國外小部分用戶，國內用戶並未受到波及。

Lipizzan「間諜軟體」的攻擊的方式主要分為兩個階段：

第一階段：Lipizzan「間諜軟體」偽裝應用市場上下載頻次比較高的應用，比如偽裝成「Backup」或「Cleaner」等應用程式，隱藏於各種APP下載渠道中，包括Google Play等應用市場，等待用戶下載安裝。

第二階段：Lipizzan「間諜軟體」在安裝運行後，能對被感染的設備進行檢測，當設備環境符合一定標準後獲取設備的root權限，對用戶的簡訊記錄、聯繫人名錄、電子郵件甚至是一些知名APP的隱私數據等進行收集，並在用戶毫無感知的情況下上傳至攻擊者伺服器。

 

受 Lipizzan「間諜軟體」影響的應用主要有：Gmail、Hangouts、KakaoTalk、LinkedIn、Messenger、Skype、Snapchat、StockEmail、Telegram、Threema、Viber和 Whatsapp等。

3.xRAT：其前身攻擊過香港抗議者

2017年9月，移動安全公司 Lookout 的研究人員發布了一款複雜的「間諜軟體」xRAT的報告。報告指出，xRAT是之前攻擊過香港抗議者的間諜程序 Xsser mRAT 的新變種，新發現的 xRAT 與 mRAT 有著相同的代碼結構、解密密鑰和命名約定，顯示它們由同一團隊開發，此外xRAT 的指令控制中心還與 Windows 惡意程序有關，意味著這是一個跨平臺攻擊行動。

xRAT 包含了很多先進的功能，如動態加載額外代碼，探測躲避、刪除指定應用和文件、搜索特定應用數據等，且攻擊者能實時的遠程控制大部分功能。

xRAT「間諜軟體」還包含自我刪除功能，它的開發者會檢測設備上的反病毒應用，並預警攻擊者，主要檢測的反病毒應用類型有：

管家 (housekeeper)

清理 (Cleanup)

安全 (safety)

殺毒 (Antivirus)

權限 (Authority)

Defender

衛士 (Guardian)

Security

此外，xRAT「間諜軟體」還有強大的文件刪除功能，能刪除感染設備上的大部分內容或攻擊者指定的文件，xRAT能遠程指定的刪除操作有：

刪除SDCard上的照片文件；

刪除SDCard上的音頻文件；

清空設備，刪除大部分內容，包括SDCard上的所有內容，/data/data下的應用和數據，以及/system/app下的系統應用；

刪除指定的輸入法應用，如QQ拼音、搜狗輸入法等；

刪除指定的社交應用，如微信、QQ、易信、Whatsapp等。

4、偽裝成彈窗的「間諜軟體」

17年12月，Android MediaProjection 服務被曝高危漏洞（CVE-2015-3878），馬上便有惡意開發者利用該漏洞開發惡意軟體竊取用戶信息。

MediaProjection服務是Google在Android 5.0中引入的，可以讓應用開發者獲取屏幕內容和記錄系統音頻。在Android 5.0之前，應用開發者需要應用在 root 權限下運行或者用設備的 release key 對應用進行籤名，只有這樣才可以使用系統保護的權限來獲取屏幕內容。

而Android 5.0在引入了 MediaProjection服務後，應用只需通過intent請求系統服務的訪問權限，且不需要在 AndroidManifest.xml中聲明請求的權限。對系統服務的訪問是通過SystemUI的彈窗來提示用戶，讓用戶決定是否對想要獲取屏幕內容的應用授權。

攻擊者可以用偽裝消息來覆蓋SystemUI的彈窗提示，誘使用戶點擊並授權攻擊者的應用獲取屏幕內容。

此次發現的惡意程序啟動後隱藏圖標，後臺靜默運行，利用屏幕錄製漏洞（CVE-2015-3878）針對安卓5.0-6.0系統的手機進行屏幕截圖，並使用進程保護技術，竊取用戶隱私，接收指定地址發送的控制指令。該程序主要行為如下：

隱藏程序圖標，欺騙用戶隱藏行蹤；

通過屏幕錄製漏洞對屏幕持續截圖並上傳；

攔截簡訊，竊取用戶WiFi密碼等信息上傳到指定伺服器；

獲取指定服務區下發的指令進行遠程控制。

5、GnatSpy ：連內存用了多少都知道

17年12月，趨勢科技的安全研究人員發現一款新型移動惡意軟體「GnatSpy」，據分析推測該惡意軟體與臭名昭著的威脅組織APT-C-23（「雙尾蠍」）有關。研究人員認為，GnatSpy是「雙尾蠍」常用的VAMP移動惡意軟體的變種，且比VAMP更加危險。2016年 5 月至 2017 年 3 月，「雙尾蠍」組織瞄準中東地區，對巴勒斯坦教育機構、軍事機構等重要領域展開了有組織、有計劃、有針對性的長時間不間斷攻擊，攻擊平臺主要包括Windows 與 Android。

GnatSpy的功能與VAMP的早期版本類似，但是GnatSpy添加了更多接收端和服務，賦予這款惡意軟體更多功能和模塊化設計，且新變種還大大增加了對Java註解和反射方法的運用，以規避檢測。GnatSpy還能從被感染的設備獲取更多信息，包括 SIM卡狀態、電池、內存和存儲使用情況。

研究人員表示，目前尚不清楚該組織如何將惡意文件傳播給受害者。一種猜測是，「雙尾蠍」組織將這些文件偽裝「安卓設置」或「Facebook更新」這類應用發送給用戶，讓用戶誤以為這些文件是合法的成更新並下載安裝在自己的設備上。

研究人員稱，並未發現大量的此類應用，這說該組織的攻擊限於具有針對性的特定組織或個人。

6、Skygofree：通過假行動網路運營商網絡傳播

2018年1月，卡巴斯基實驗室發布了一款強大的安卓監控軟體 Skygofree 的分析報告，並認為它出自活躍在監控軟體市場上的一家義大利 IT 公司。

自 2014 年以來，安卓惡意軟體 Skygofree 暗中增長了很多新功能，包括使用設備麥克風進行基於位置的錄音、使用 Android Accessibility Services 竊取 WhatsApp 消息，以及將受感染設備連接到受攻擊者控制的惡意 Wi-Fi 網絡等。

目前 Skygofree 主要通過假冒行動網路運營商的網絡作為傳播途徑。

 

【Skygofree」間諜軟體」的發展時間線】

去年10月，Skygofree 的最新變種可以通過漏洞 root 受害者設備，並開啟反向shell，接收來自C&C服務的控制指令，讓黑客可以完全遠程控制受感染的安卓手機，竊取用戶隱私數據。

7.標榜自己合法的商業間諜軟體

除了上述這些來勢兇猛的間諜軟體，還有一類特殊的間諜軟體：商業間諜軟體。

這類應用大部分都定位為家長控制（parental control）、手機定位找回等工具，但其實際功能與惡意」間諜軟體」相差無幾，甚至更為強大。用戶甚至不用專門去暗網或地下論壇，直接在搜尋引擎或應用市場上搜索關鍵詞「android spy app、手機定位等」就能找到很多類似的應用程式。

簡單來說，商業間諜軟體標榜自己是「合理合法的軟體」，「光明正大」地出現在「推薦」上。所以，幾乎所有的商業」間諜軟體」應用程式都是需要用戶手動地安裝到目標的設備上，這也是這類商業」間諜軟體」與傳統的惡意」間諜軟體」的根本差別所在。

你必須手工下載應用程式、安裝並輸入購買後獲取到的激活憑證來運行應用。在此之後，安裝的間諜應用程式就從設備上隱身了，整個安裝通常只需要幾分鐘的事件。其中一些商業「間諜軟體」還會利用設備的管理權限在目標手機上獲得持久性和自我保護功能。

大多數商業化間諜軟都具有以下幾種功能：

竊取簡訊信息；

竊取電話信息（日誌/錄音）；

GPS跟蹤；

竊取瀏覽器數據（歷史記錄/書籤）；

竊取手機上存儲的照片/視頻；

竊取通訊錄信息（包括電子郵件地址，甚至照片）

一個極有可能的潛在危害是——你以為只有你能看到伴侶的內容，實際上這些信息被上傳到伺服器上後，還可能夠被其他人獲得，造成數據洩露或其他不愉快的後果；最後，由於很多「間諜軟體」需要 root 權限，在設備上安裝這樣的應用程式，會增大感染惡意軟體的風險。

一不小心，原以為只「牢牢盯住」家人的行為最終可能引發一場未知的災難。

雷鋒網註：本文部分內容和數據節選自騰訊安全反詐騙實驗室與騰訊手機管家近日發布的《2017年Android「間諜軟體」年度總結報告》。想了解更多網絡安全的內容？歡迎關注雷鋒網旗下微信公眾號「宅客頻道」（微信ID：letshome）。

雷鋒網原創文章，未經授權禁止轉載。詳情見轉載須知。