一款伪装成家长监控软件的安卓间谍软件Catwatchful存在漏洞,导致超过6.2万用户账户凭证泄露。
安全研究员Eric Daigle透露,这款号称具备”实时监控”功能的应用实际上是一款功能强大的间谍软件(也称跟踪软件),它能在后台持续运行并隐藏自身图标,防止受害者卸载。
开发者虽然在宣传中将其包装为”安卓家长控制应用”,却毫不掩饰其隐蔽特性:”您可以在对方不知情的情况下监控手机——软件在手机上是完全隐形且不可检测的,它会在隐藏和静默模式下运行。”Daigle证实,Catwatchful确实如宣传所言:潜伏在受害者设备中,将数据上传至Firebase数据库,注册用户可通过网页控制面板访问这些内容。
用户注册后会获得一个预配置好凭证的APK文件,需要物理接触目标设备才能完成安装。一旦运行,间谍软件就会启动实时监控功能。在研究其内部机制时,Daigle发现该软件存在SQL注入漏洞,攻击者可通过用户控制面板提取存储个人信息的Firebase数据库。
据Daigle分析,泄露的数据库包含全部62,050个Catwatchful账户的明文登录凭证,以及关联设备信息和管理数据。研究员指出,这些信息足以接管服务中的任何账户。TechCrunch进一步报道称,这次泄露还曝光了乌拉圭开发者Omar Soca Charcov——该间谍软件运营的管理员身份,包括其电话号码、电子邮箱和Firebase数据库地址。
作为应对措施,谷歌已为Play Protect新增防护功能,当检测到设备存在Catwatchful时会向用户发出警报。托管Catwatchful API的网络公司已暂停违规账户,但该API已迁移至其他服务商。Firebase数据库目前尚未被移除,谷歌仍在调查其是否违反相关政策。
虽然Catwatchful号称”不可检测”,但安卓用户可通过拨打”543210″并按下通话键来检查设备是否被安装——这是软件内置的后门功能,会强制间谍软件显示自身图标以便卸载。
转载请注明出处@安全威胁纵横,封面来源于pixabay;
消息来源:https://www.securityweek.com/undetectable-android-spyware-backfires-leaks-62000-user-logins/
声明:本文来自安全威胁纵横,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
