研究人员发现一个名为Maikspy的恶意软件家族，这是一个可以窃取用户隐私数据的多平台间谍软件。该间谍软件攻击目标为Windows和安卓用户，最开始会伪装成一个以美国著名成人电影女演员命名的成人游戏。Maikspy将成人电影女演员的名字和间谍软件融合在一起，从2016年开始活动。

研究人员对最新的Maikspy变种进行了分析，发现用户是从hxxp://miakhalifagame[.]com/获取的该间谍软件，而该网站是专门分发恶意app的，还可以连接到C2服务器来上传从被感染的机器上收集的数据。多个Twitter账号在推送一个叫做Virtual Girlfriend的成人游戏，并通过短链接的方式分析恶意域名。

Figure 1. 提到Virtual Girlfriend 和 hxxp://miakhalifagame[.]com/的短链接的Tweets

安卓平台上的Maikspy

Figure 2. Maikspy Android变种的感染链

研究人员对样本进行了分析发现，运行在安卓平台上的Maikspy变种名为Virtual Girlfriend，引诱用户访问攻击者的恶意域名。当用户打开Twitter分析的短链接，页面上会出现性别的选项，供用户选择第一个女友然后让将用户引导到下载页面。

Figure 3. Virtual Girlfriend的选择按钮和下载页面

下载的APK文件安装和加载后，就会发送受感染设备的Unix时间戳到0046769438867，含有瑞典国家码的电话号码。这应该是用来进行设备ID注册的：

Figure 4. 发送给0046769438867的设备Unix时间戳代码段

随后，携带Maikspy的app就会显示“Error: 401. App not compatible. Uninstalling…”，欺骗用户让用户以为app已经从设备移除了。但间谍软件只是将自己隐藏并后台运行。恶意app首先会检查必要的权限，然后：

· 窃取手机号码；

· 窃取账号；

· 窃取安装的app列表；

· 窃取通讯录；

· 窃取短信；

窃取的信息在上传到C2服务器之前会写入.txt文件或.csv文件中。

在取回和上传了窃取的数据后，恶意app每60秒会检查C2服务器的CMD，下面是支持的命令列表：

Virtual Girlfriend启动后，恶意app会用Unix时间戳，设备的蓝牙适配器名和用户的Twitter账号名作为设备的识别名：Timestamp_BTAdapterName_TwitterAccount。如果用户没有Twitter App，就会用（“”），如果用户有多个Twitter账号，间谍软件会使用当前用户登录的账号。

Figure 5. 来生成设备识别名的代码段

然后，间谍软件在首次安装后会打开hxxp://miakhalifagame[.]com/get_access2[.]php，页面内容如下：

Figure 6. 恶意Virtual Girlfriend app安装后展示的在线约会网站

实际上显示的是一个在线约会网站的注册页面，该页面会引诱用户给出信用卡信息。当用户注册后，信用卡就会被收费。这是因为右边红色标注的地方有隐藏的iframe，填写的数据和隐藏的iframe信息都会被上传。因此，只有用户不要求退款，该方案的攻击者不仅能获取受害者的信用卡信息，还可以窃取信用卡中的钱。

Windows平台上的Maikspy

Figure 7. Maikspy Windows变种的感染链

Figure 8.  用户点击Twitter hxxp://miakhalifagame[.]com/短链接后的按钮

Maikspy的Windows变种上次监测到的时间是2017年4月，用户会被欺骗下载一个MiaKhalifa.rar 文件，该文件含有下面的内容：

Figure 9. MiaKhalifa.rar文件的内容

README.txt 提供了教用户关闭反病毒软件和打开网络的指导，这也是攻击者窃取和上传数据C2服务器所必须的。

Figure 10. README.txt的内容

register.bat 是用来获取管理员权限的。

Figure 11. register.bat代码段

Uninstall.exe是开源黑客攻击Mimikatz (https://github[.]com/gentilkiwi/mimikatz)的一个副本。它可以从内存中提取明文密码，哈希值，PIN码，和Kerberos凭证。在这里，Uninstall.exe是用来窃取Windows账户和密码的，然后写入 C:\Users\%username%\AppData\local\password.txt文件中。

Setup.exe是窃取数据的核心模块。与安卓 Maikspy类似，它首先会发送通知给C2服务器来注册设备：

Figure 12. 发送给C2服务器来注册设备的通知的代码段

之后，会从C:/Users/%username%/Desktop, C:/Users/%username%/Pictures, C:/Users/%username%/Documents, C:/Users/%username%/Downloads等文件目录取出.jpg, .jpeg, .png, .txt, .wav, .html, .doc, .docx and .rtf格式的文件。目录的文件列表也被窃取了，随后在上传到C2服务器之前也会把这些写入文件中。

Figure 13. 扫描，提取，上传.jpg，jepg，png，txt，wav，html，doc，docx，rtf文件的代码段

研究人员还发现一个可以用来访问hxxp://miakhalifagame[.]com的Chrome扩展插件（VirtualGirlfriend.crx）。扩展插件下载后，受害者就会被告诉如何在浏览器中加载。之后，恶意软件就会从web页面收集用户名和密码输入，并发送给hxxps://miakhalifagame[.]com/testinn[.]php。

Figure 14. 教用户如何加载恶意Chrome扩展的指导语

Figure 15. 恶意扩展插件的代码

Round Year Fun 和Maikspy之间的联系

如图1所示，传播Virtual Girlfriend的Twitter账号名为Round Year Fun (hxxps://twitter[.]com/RoundYear_Fun)，主页全部是推送来自hxxp://www[.]roundyearfun[.]org站点的游戏推广。

Figure 16. Round Year Fun的Twitter主页

hxxp://www[.]roundyearfun[.]org是Twitter上推广游戏的门户。如图所示，除了Virtual Girlfriend外，还有其他的游戏。在检查了缓存的页面后，研究人员发现这也是Maikspy背后的攻击者用来分发成人游戏的。

Figure 17. Virtual Girlfriend在 hxxp://www[.]roundyearfun[.]org提供的推广游戏列表里

Figure 18.  hxxp://www[.]roundyearfun[.]org推广的成人游戏

分析发现hxxp://www[.]roundyearfun[.]org也被用来C2地址来保存受害者的数据。恶意软件与Virtual Girlfriend共享系统的证明。其中的一个样本来自 hxxp://roundyearfun[.]org/noavi/MiaKhalifa[.]apk，有趣的是，研究人员在hxxp://miakhalifagame[.]com/img/ryf[.]jpg发现一个Round Year Fun logo的图片。

Figure 19.  Maikspy恶意域名中发现的Round Year Fun logo

基于以上发现，可以推断出个Maikspy背后的攻击者运营着roundyearfun[.]org/和hxxp://miakhalifagame[.]com/两个网站。研究人员还发现，如果用户授权这些尤其使用Twitter账户，那么开发者就会用自动化的工具来让这个账号也去转发推广游戏。

Maikspy的发展历程（2016-2018）

Maikspy的第一个Windows平台样本出现在2016年12月，它伪装成以成人电影女演员命名的成人游戏。该恶意应用可以通过hxxp://fakeomegle[.]com/网站更新，可以窃取桌面，图片，文档和下载文件夹中的.jpg, .jpeg, .png, .txt, .wav, .html, .doc, .docx，.rtf文件，也可以窃取IE，Chrome, Firefox或默认浏览器的信息，以及操作系统和网络配置信息。该间谍软件会连接到 107[.]180[.]46[.]243。

第一个安卓变种出现在2017年1月，也是伪装成成人游戏，并且连接到同样的C2服务器。可以对受害者设备进行电话录音，窃取设备位置，SMS，通讯录，Whatsapp数据库等。第二个变种很快就出现了，新增了窃取设备剪贴板内容，电话号码，安装app列表和账号等功能。同时，窃取Whatsapp数据库的功能被移除了。

2017年3月，另一个可以窃取用户照片的变种出现的。该变种的代码结构和包名，C2地址都发生了变化，其中C2地址变为：198[.]12[.]155[.]84。

2017年4月，最后一个Windows变种出现了，发生的变化有：C2服务器地址变为198[.]12[.]155[.]84，增加了窃取密码功能和窃取.doc，.docx，和.rtf文件功能。

在2017年7月到12月间，安卓变种发生了以下变化：C2服务器地址变为192[.]169[.]217[.]55，移除了电话录音功能，C2服务器地址再次变为198[.]12[.]149[.]13。

2018年1月，安卓变种app更名为 Virtual Girlfriend。2个月后，C2服务器改为hxxp://miakhalifagame[.]com，攻击者使用HTTP协议来传输数据，窃取位置信息和照片的功能被移除了。

Maikspy使用的C2服务器和变种的关系

Maikspy背后的攻击者经常变化域名和IP地址，但都是在一家位于美国的网络域名注册商处注册的。下图是Maikspy变种从2016年到2018年如何连接到C2服务器：

Figure 20. 连接到 198[.]12[.]155[.]84, hxxp://roundyearfun[.]org/, 和192[.]169[.]217[.]55的Maikspy变种

Figure 21. 连接到107[.]180[.]46[.]243和hxxp://fakeomegle[.]com的Maikspy变种

Figure 22. 连接到198[.]12[.]149[.]13和hxxp://miakhalifagame[.]com/的Maikspy变种

解决方案

从正规的应用商店下载应用可以避免Maikspy入侵手机和计算机。同时，要知道app要请求的权限的意义和相关的风险，并合理授权。