导语:近日,来自Bitdefender的研究人员发现了一款令人毛骨悚然的Android间谍软件。并将其命名为“Triout”。该间谍软件可以秘密拍摄照片和视频,记录所有通话信息(包括日期、时间、通话时长和来电显示),记录短信并跟踪受害者的位置。
近日,来自Bitdefender的研究人员发现了一款令人毛骨悚然的Android间谍软件。并将其命名为“Triout”。该间谍软件可以秘密拍摄照片和视频,记录所有通话信息(包括日期、时间、通话时长和来电显示),记录短信并跟踪受害者的位置。
此外,该间谍软件框架广泛、先进的监控功能还可以捆绑到良性应用程序中;除了具备恶意负载外,无论代码还是功能,该恶意软件应用程序都与原始应用程序几乎完全相同。这样做可能是为了避免受害者的任何怀疑。
也许在以色列有很多人希望为自己的爱情生活增添情绪,因为该恶意软件最初被发现就潜伏在一个与名为“性游戏”(SexGameForAdults)的合法Android应用程序相同的应用中。但是,第一个恶意软件样本最初却是于2018年5月15日从俄罗斯提交给VirusTotal的。
据悉,Tride间谍软件是由Bitdefender公司的机器学习算法检测到的。Bitdefender的研究人员怀疑Triout间谍软件是在攻击者控制的域名或第三方市场上托管的。该公司还怀疑它正被用于间谍活动,但目前还不知道他们背后的操作团体或国家是谁。
研究人员介绍称,该间谍软件的功能包括:
记录用户作为媒体文件发出的每一次通话,并将其与来电显示信息(呼叫日期、呼叫持续时长、呼叫者ID)打包一并发送至C&C服务器;
记录每条收到的短信和发件人,并将其发送到C&C服务器;
捕捉用户拍摄的每一幅图片和视频,并将其发送到C&C服务器(这项功能被被Bitdefender描述为“其中一个更令人不安的功能”);
捕捉GPS坐标,并将跟踪数据发送给C&C服务器;
该Android间谍软件还可以隐藏自身,为用户不可见。
根据Bitdefender发布的白皮书介绍称,除去所有这些先进的间谍功能,该恶意软件样本还存在一个最引人注目的特征是“它完全没有模糊处理,这就意味着只需要通过解压.apk文件,就可以完全访问源代码。这表明该框架可能正在进行中,开发人员正在测试其功能以及其与设备的兼容性。”此外,研究人员分析称,用于接收数据的C&C服务器是单个硬编码IP地址,自今年5月以来一直处于运行状态。
Bitdefender的高级分析师Bogdan Botezatu表示,由于该恶意软件能够上传记录的通话信息,所以Bitdefender安全公司将其定义为“间谍软件”,并怀疑“其背后团体正利用或准备利用它实施间谍活动”。他补充道:
“该间谍软件对于商业威胁者而言是不可行的,因为其记录的电话/短信语言非常广泛,商业威胁者没有精力去消化收集到的所有东西。所以我们认为,该间谍软件可能是旨在获取机密信息的间谍团队所为,我们认为,获取信息的人一定是有能力也有精力去翻译这些文本语言,并理解所收集的信息的人。”
最后,Bitdefender建议用户警惕从官方商店以外的任何地方所下载的应用程序,以及轻易不要授予应用程序读取信息、访问呼叫记录和GPS坐标,或通过Android传感器获得的其他数据的权限。
参考链接:https://labs.bitdefender.com/2018/08/triout-spyware-framework-for-android-with-extensive-surveillance-capabilities/