4月4日讯 日前,网络安全企业 Trustlook 公司的安全研究人员发现了一种新型 Android 恶意软件。该软件专门从移动即时通讯(IM)客户端窃取数据,十余款热门即时通讯应用软件受影响。
Android 恶意软件功能“单一”
Trustlook 公司的研究人员在2018年4月2日发布的报告中指出,这款新型木马的设计非常简单,仅拥有以下几项功能:
一、从受感染应用程序的资源当中解压代码,以篡改应用引导过程以实现持久驻留。随后该代码会尝试修改“/system/etc/install-recovery.sh”文件,成功后,该文件将在应用每次启动时都执行这个 Android 恶意软件。
二、该恶意软件可以从以下 Android IM 客户端当中提取数据。这些数据将被上传至远程服务器,同时,该恶意软件会从本地配置文件当中检索远程服务器的 IP 地址。能够被该恶意软件从Android IM 客户端提取数据的应用软件包括:
Facebook Messenger
Skype
Telegram
Twitter
微信
微博
Viber
Line
Coco
BeeTalk
陌陌
Voxer Walkie Talkie Messenger
Gruveo Magic Call
TalkBox Voice Messenger
研究人员在一款名为 Cloud Module(云模块)的中国应用当中发现了该恶意软件,其软件包名称为 com.android.boxa。
回避检测技术先进
Trustlook 公司的研究人员表示,尽管该恶意软件单纯着眼于窃取 IM 数据,但其采用了多种先进的回避检测技术。例如,该恶意软件会利用反仿真器与调试器检测技术以逃避动态分析,还会在源代码当中隐藏字符串以阻止代码逆向尝试。
从理论角度看,这样的精心的设计一般用于收集私人对话、图像以及视频,试图从中找到敏感数据并对高知名度这类用户进行勒索。
目前,研究人员尚未发布与该恶意软件传播方法的任何信息,但考虑到该恶意软件拥有中文名称,且中国尚未上线官方 Google Play软件商店,因此该恶意软件的作者很可能会通过 Android 上的第三方商店及应用程序论坛中的链接进行代码分发。
附该恶意软件信息:
MD5:ade12f79935edead1cab00b45f9ca996
SHA256:1413330f18c4237bfdc523734fe5bf681698d839327044d5864c9395f2be7fbe
大小:1774802字节
应用程序名称:Cloud Module(中文)
安装包名称:com.android.boxa
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
