新 型 安 卓 木 馬 SpyNote 構 建 器 遭 洩 露
近日, Palo Alto Networks 威脅情報團隊 Unit 42 宣佈發現一類新型安卓木馬 SpyNote,該木馬可執行遠端入侵功能,其構建器近日在多個惡意軟件論壇上遭洩露。 SpyNote 與知名的 RAT ( Remote Administration Tools, RAT ) 程式 OmniRat 和 DroidJack 相類似, 令惡意軟件所有者能夠對 Android 設備實施遠端系統管理控制。
與其他 RAT 一樣, SpyNote 有以下主要特徵:
* 無需 Root 存取權限
* 安裝新的 APK 並更新惡意軟件
* 將設備上的檔案複製到電腦上
* 瀏覽設備上全部訊息
* 監聽設備來電
* 獲取設備上的全部連絡人清單
* 借助設備麥克風監聽或者錄製音訊
* 控制設備攝像頭
* 獲取IMEI編號、 Wi-Fi MAC 位址以及手機營運商資料
* 獲取設備最後一個 GPS 定位資料
* 撥打電話
SpyNote 控制台
SpyNote 安裝包括要求受害者接受並準許SpyNote執行諸多操作,包括編輯文本資訊、讀取通話記錄和聯繫方式、修改或刪除SD卡內容。我們發現SpyNote的樣本已被上傳至以下的惡意軟件分析網站 VirusTotal 和 Koodous:
https://www.virustotal.com/en/file/f0646b94f1820f36de74e7134d0bb9719a87afa9f30f
3a68a776d94505212cbd/analysis/
https://analyst.koodous.com/apks/f0646b94f1820f36de74e7134d0bb9719a87afa9f30f
3a68a776d94505212cbd
結論
在非官方來源安裝應用程式危險重重,這些源頭往往缺少如Google Play Store一樣的官方來源的監管。即使有詳盡的步驟和演算法來刪除那些惡意應用程式,並不代表這些方法堅不可摧。下載入來自有問題源頭的應用程式,使使用者以及他們使用的流動設備曝露於各類惡意軟件和資料丟失的危險之中。
到現在為止,我們還沒有看到有主動攻擊使用了SpyNote,但我們擔心網路罪犯會因為SpyNote的輕鬆易得而開始作惡。現在,Palo Alto Networks AutoFocus的用戶可使用SpyNote tag 來對該木馬程式進行甄別。
< 網誌節錄 >
如欲了解詳細分析,請參閱網誌全文:
http://researchcenter.paloaltonetworks.com/2016/07/unit42-spynote-android-trojan-builder-leaked/
作者: Palo Alto Networks 威脅情報小組 Unit 42 分析員 Jacob Soo