在2018年初，我们的移动入侵检测技术是由一个可疑的Android样本触发的，事实证明，该样本属于一个未知的间谍软件家族。进一步的调查显示，名为BusyGasper的恶意软件并不是那么复杂，但它展示了一些不同寻常的功能。从技术角度来看，样本是一种独特的间谍植入程序，具有突出的功能，例如设备传感器监听器，包括已经实现了一定程度原创性的运动检测器。它具有令人难以置信的广泛协议（大约100个命令），并且能够绕过Doze节电器。作为一款现代Android间谍软件，它还能够从消息应用程序（WhatsApp，Viber，Facebook）中提取数据。此外，BusyGasper拥有一些键盘记录工具——恶意软件处理用户提供每个点击，收集其坐标和计算字符，方法是将给定值与硬编码值匹配。

该样本具有多组件结构，可以从其C&C服务器下载有效载荷或更新，这恰好是属于免费俄语网络托管服务商Ucoz的FTP服务器。值得注意的是BusyGasper支持在Android恶意软件中很少见到的IRC协议。此外，恶意软件可以登录攻击者的电子邮件收件箱，在特殊文件夹中解析电子邮件以获取命令，并通过电子邮件附件将任何有效载荷保存到设备中。

此特定行动自2016年5月左右开始一直活跃至今。

一、感染向量和受害者

在寻找感染载体时，我们没有发现鱼叉式网络钓鱼或其他常见载体。但是一些线索，例如存在用于操作控制的隐藏菜单，指向手动安装方法 – 攻击者使用对受害者设备的物理访问来安装恶意软件。这可以解释受害者的数量（其中不到10个），根据我们的检测统计数据，它们都位于俄罗斯。

出于好奇，我们继续搜索，发现了更多有趣的线索，可以揭示有关受感染设备所有者的一些详细信息。在攻击者的FTP服务器上带有命令的几个TXT文件包含了可能由犯罪分子添加的受害者名称的标识符：

其中一些听起来像俄罗斯名字：Jana，SlavaAl，Nikusha。

正如我们从FTP转储分析中所知，有一个来自ASUS（华硕）固件的组件，表明攻击者对华硕设备的兴趣，这解释了提到“ASUS”的受害者文件名。

从电子邮件帐户收集的信息提供了许多受害者的个人数据，包括来自IM应用程序的消息。

收集到的其他数据包括银行短信信息，其中显示余额超过10,000美元的账户。但据我们所知，此次行动背后的攻击者并不想窃取受害者的钱。

我们发现BusyGasper与商业间谍软件产品或其他已知的间谍软件变体没有任何相似之处，这表明BusyGasper是由一个威胁行为者自行开发和使用的。同时，缺乏加密，使用公共FTP服务器和低opsec级别可能表明恶意软件的幕后黑手不太熟练。

二、技术细节

以下是观察到的样本、证书和硬编码版本标记的元信息：

有趣的是，发行者“Sun”与来自FTP服务器的受感染设备的“Sun1”和“Sun2”标识符匹配，表明它们可能是测试设备。

分析的植入程序具有复杂的结构，目前我们已观察到两个模块。

（一）第一个模块

第一个模块安装在目标设备上，可以通过IRC协议进行控制，并通过从FTP服务器下载有效载荷来部署其他组件：

@install command

从上面的屏幕截图中可以看出，一个新组件被复制在系统路径中，但如果没有root权限，则无法进行此操作。在撰写本文时，我们没有证据表明利用漏洞来获取root权限，尽管攻击者可能会使用一些看不见的组件来实现此功能。

以下是第一个模块可以执行的可能命令的完整列表：

植入程序在其组件之间使用复杂的通信机制来广播命令：

BusyGasper组件之间关系的近似图

（二）第二个模块

此模块将命令执行历史记录的日志写入名为“lock”的文件，该文件稍后将被删除。下面是日志的片段：

使用指定的命令记录

日志文件可以上传到FTP服务器并发送到攻击者的电子邮件收件箱。甚至可以通过短信向攻击者的号码发送日志消息。

如上面的屏幕截图所示，恶意软件有自己的命令语法，？表示字符组合，而“＃”符号是分隔符。有关描述的所有可能命令的完整列表可以在下面的附录II中找到。

恶意软件具有现代间谍软件的所有流行功能。以下是最值得注意的描述：

·  植入程序能够监视所有可用的设备传感器并记录已注册的事件。此外，加速计有一个特殊的处理程序，可以计算和记录设备的速度：

·  此功能特别用于使设备静音的命令“tk0”，禁用键盘锁，关闭亮度，使用唤醒锁并侦听设备传感器。这允许它静默地执行任何后门活动，而无需用户知道设备处于活动状态。一旦用户拿起设备，植入程序将检测到运动事件并执行“tk1”和“input keyevent 3”命令。

·  “tk1”将禁用“tk0”命令的所有效果，而“input keyevent 3”是模拟按下“home”按钮的shell命令，因此所有当前活动将被最小化，用户不会产生任何怀疑。

·  启用（GPS /网络）跟踪的位置服务：

·  电子邮件命令和控制协议。植入程序可以登录攻击者的电子邮件收件箱，在特殊的“Cmd”文件夹中解析电子邮件以获取命令，并通过电子邮件附件将任何有效负载保存到设备中。

访问攻击者收件箱中的cmd文件夹

·  此外，它可以通过电子邮件从受害设备发送指定文件或所有收集的数据。

·  紧急SMS命令。如果传入的SMS包含以下魔术字符串之一：“2736428734”或“7238742800”，恶意软件将执行多个初始命令：

三、键盘记录

键盘记录以原始方式实现。

激活后，恶意软件会立即在新窗口中创建一个textView元素，其中包含以下布局参数：

所有这些参数确保元素对用户隐藏。

然后它将onTouchListener添加到此textView，并能够处理每个用户点击。

有趣的是，有一个录音活动的白名单：

ui.ConversationActivity
ui.ConversationListActivity
SemcInCallScreen
Quadrapop
SocialPhonebookActivity

监听器只能使用坐标进行操作，因此它通过将给定值与硬编码值匹配来计算按下的字符：

此外，如果有预定义的命令，键盘记录器可以截取显示的区域：

四、手动访问和操作菜单

有一个隐藏菜单（Activity）用于控制植入程序特征，看起来像是为手动操作控制而创建的。要激活此菜单，操作员需要从受感染的设备中调用硬编码的数字“9909”：

然后隐藏的菜单会立即显示在设备显示屏上：

操作员可以使用此接口键入任何要执行的命令。它还显示当前的恶意软件日志。

五、基础设施

FTP服务器

攻击者使用ftp://213.174.157 [.] 151 /作为命令和控制服务器。IP属于免费的俄罗斯网络托管服务商Ucoz。

用于植入程序组件的SuperSU配置片段和busybox工具supersu.cfg：

此配置允许植入程序静默使用所有root特征。

bdata.xml文件的内容：

可以将其添加到/system/etc/sysconfig/路径，以便从电池省电系统将指定的植入程序组件列入白名单。

Email帐户

样本代码中提到了一个带密码的Gmail帐户：

它包含受害者的泄露数据和“cmd”目录，其中包含受害设备的命令。

附录I: IoC

MD5

9E005144EA1A583531F86663A5F14607
18ABE28730C53DE6D9E4786C7765C3D8
2560942BB50EE6E6F55AFC495D238A12
6C246BBB40B7C6E75C60A55C0DA9E2F2
7C8A12E56E3E03938788B26B84B80BD6
9FFC350EF94EF840728564846F2802B0
BDE7847487125084F9E03F2B6B05ADC3

C2

ftp://213.174.157[.]151/