ANDROIDOS_MOBSTSPY伪装成合法的Android应用程序来收集用户的信息。这些应用程序可在2018年在Google Play上下载，其中一些已被全球用户下载超过100,000次。

我们最初研究的应用之一是Flappy Birr Dog游戏，如图1所示。其他应用程序还包括FlashLight，HZPermis Pro Arabe，Win7imulator，Win7Launcher和Flappy Bird。自2018年2月以来，其中六分之五的应用程序已在Google Play上暂停使用。截至撰写时，Google已经删除了所有这些应用程序。

图1. Flappy Birr Dog下载页面

一、信息窃取

MobSTSPY能够窃取用户位置、短信对话、通话记录和剪贴板等信息。它使用Firebase云消息传递将信息发送到其服务器。

一旦启动，恶意软件将首先检查设备的网络可用性。然后，它从其C＆C服务器读取并解析XML配置文件。

图2.从C＆C服务器获取的配置文件的示例

然后，恶意软件将收集某些设备信息，例如所使用的语言、其注册国家/地区、软件包名称、设备制造商等。图3中可以看到它窃取的所有信息的示例。

图3.被盗信息示例

它将收集的信息发送到其C＆C服务器，从而注册设备。完成后，恶意软件将等待并执行其C＆C服务器通过FCM发送的命令。

图4.来自C＆C的Parse命令

根据恶意软件收到的命令，它可以窃取SMS会话、联系人列表、文件和呼叫记录，如下面后续图表中所示。

图5.窃取短信对话

图6.窃取联系人列表

图7.窃取呼叫记录

恶意软件甚至能够窃取和上传设备上的文件，只要它分别收到如图8和9所示的命令就会这样做。

图8.从目标文件夹中窃取文件

图9.上传文件

二、钓鱼功能

除了信息窃取功能外，恶意软件还可以通过网络钓鱼攻击收集其他凭据。它能够显示虚假的Facebook和谷歌窗口，以便针对用户的帐户详细信息进行网络钓鱼。

图10.网络钓鱼行为

如果用户输入凭据，则假弹出窗口将仅显示登录失败。实际上，此时恶意软件已经窃取了用户的凭据。

图11.假Facebook登录窗口

三、用户分布

这个案例变得有趣的部分原因在于其分布范围。通过后端监控和深入研究，我们能够看到受影响用户的分布情况，并发现他们来自共有196个不同的国家。

图12.受影响用户数最多的主要国家/地区

受影响的其他国家包括莫桑比克，波兰，伊朗，越南，阿尔及利亚，泰国，罗马尼亚，意大利，摩洛哥，墨西哥，马来西亚，德国，伊拉克，南非，斯里兰卡，沙特阿拉伯，菲律宾，阿根廷，柬埔寨，白俄罗斯，哈萨克斯坦，坦桑尼亚等。可以推测，这些应用程序在全球各地广泛分布。

四、解决方案

此案例表明，尽管应用程序普遍存在，但用户在将其下载到设备时仍必须保持谨慎。应用程序的普及可以激励网络犯罪分子继续开发利用它们窃取信息或执行其他类型攻击的活动。此外，用户还可以安装全面的网络安全解决方案，以保护其移动设备免受移动恶意软件的侵害。

IoC

C&C服务器

· hxxp://www[.]mobistartapp[.]com
· hxxp://www[.]coderoute[.]ma
· hxxp://www[.]hizaxytv[.]com
· hxxp://www[.]seepano[.]com