freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

SpyNote间谍软件利用“新冠肺炎”传播恶意程序
2020-05-17 09:00:06

PaloaltoNetworks团队最早于2016年发现了一款新的AndroidRAT(远程管理工具)-SpyNote,该间谍软件允许恶意软件所有者获得对Android设备的远程管理控制。

随着COVID-19的传播,人们时刻关注着该病毒的准确信息以及迫切寻求政府提供的有关该病毒物资、工具等方面的帮助。威胁行为者利用围绕该主题的一切可利用信息传播大量恶意程序。

SpyNote间谍木马最早于今年2月份就开始利用“新冠肺炎”传播应用名为“Corona1”的恶意软件。而最近暗影安全实验室再次发现SpyNote在一个仿冒世界卫生组织的网站上分发间谍软件,该网站打着世界卫生组织的名号诱导用户下载自我检测新冠状病毒的程序。

图1-1 分发恶意软件

一、样本信息

MD5:F83D7F4D5A6BFF93F2E39CC0064DEEB8

包名:com.android.tester

应用名:COVID19

图标:

二、技术分析

该应用安装后将会从受害者的设备中删除该应用程序的图标。这是恶意软件开发人员常用的技巧,使用户认为该应用程序可能已被删除,在后台,该恶意软件尚未删除。相反,它开始准备对其进行攻击

该应用程序targetsdk为22,低版本的系统默认全部授权,无需用户主动授权。以下程序获取了用户设备大量敏感权限。

图2-1 应用权限列表

该应用程序通过注册开机启动、电源连接等广播启动主服务来保证主服务的安全运行,且会在服务、广播、活动等组件执行结束时通过判断主服务是否正在运行来决定是否启动主服务。

图2-2 注册广播用于启动主

应用程序启动后在主服务中通过Socket连接服务器进行通信,每次执行完获取用户数据的操作后会将获取的用户数据写入到输出流中传送到服务端。且该应用程序还可通过下发指令远程控制手机端。IP:144.76.30.213,端口:443。

图2-3 与服务器通信

指令列表:

指令功能
10254停止录音
10255获取壁纸信息
10256开始录音
10257获取照相机配置信息
10258启动设置照相机配置服务
10259停止设置照相机配置服务
10260设置照相机配置
10261遍历文件获取文件名、路径、长度等信息
10262捕获了设备的屏幕活动
10263捕获了设备的音频
10264设置参数
10265获取指定文件路径
10266获取指定文件内容
10267读取文件每行内容
10268对文件进行写操作
10269获取位置信息
10270监控位置变化
10271获取通话记录
10272获取用户账户信息
10273获取联系人信息
10274获取通讯录列表中其它信息如邮件、地址
10275获取已安装应用信息
10276启动其它应用
10278传递配置信息到服务器
10279拨打指定号码电话
10281重新连接服务器
10282停止连接服务器
10283对指定文件写入指定内容
10284执行cmd命令
10285判断指定文件是否存在,不存在就创建
10286重命名文件
10287删除文件
10288执行cmd命令删除文件
10289设置壁纸
10290将一个文件内容写入另一文件
10291开启播放媒体文件
10292停止播放媒体文件
10293压缩文件
10295获取设备详细信息
10296获取手机、wifi、音频等设置信息
10297获取外部存储指定文件名称、长度信息
10298读取外部存储指定文件内容
10299删除外部存储指定文件
10303对通话记录数据库做删除操作
10304对联系人数据库做删除操作
10305对联系人数据库做插入操作
10306锁定屏幕重设密码
10307打开网页
10308获取已安装应用activity信息
10311删除振动设置
10312设置振动模式

(1)该应用程序可在远程执行命令行操作:

图2-4 远程执行命令行

(2)监听用户短信:

图2-5 监听用户短信

(3)获取联系人信息:包括联系人电话、姓名、住址、email等信息。

图2-6 获取用户联系人信息

联系人数据库操作:

图2-7 对联系人数据库执行插入操作

(4)获取用户通讯录信息。

图2-8 获取通讯录信息

(5)监听用户电话状态:

图2-9 监听用户电话

(6)使用麦克风、摄像头麦克风、语音识别、语音通信等设备录音。

图2-10 使用麦克风录音

(7)监听用户位置变化:

图2-11 监听用户位置变化

(8)该应用还具有开启设备管理器、重设锁屏密码功能。

图2-12 重设用户锁屏密码

三、SpyNote平台

经由SpyNote生成的APK都有类似的配置文件,指定了服务端ip、端口、App名称等信息:

图3-1 SpyNote 样本配置

我们也通过V5.0版本的SpyNote平台打包了一个APK应用,通过文件以及代码对比我们发现该应用程序也是通过SpyNote平台打包的间谍软件。由于打包应用的SpyNote平台版本不同,所以结构和代码会有点差异,但他们的代码运行逻辑却相同。

图3-2 程序文件结构对比

图3-3 程序代码结构

SpyNote平台的官网上显示该平台已更新到V6.5版本,且用户需要购买才可以使用。

图3-4 SpyNote官网

(1)SpyNote平台集成了大量监控用户手机设备的功能,其中包括以下功能:

短信管理:可进行SMS短信收发和查看功能

联系人管理:联系人数据库插入、删除操作

通话记录管理:通话记录数据库删除操作

位置监听:GPS定位

文件管理:文件的浏览、传输、删除等操作

查看手机系统信息、更改手机设置。

麦克风监听、屏幕捕获

APP管理

远程执行cmd命令

图3-5 SpyNote控制面板

(2)利用SpyNote平台创建APK应用。创建应用时可设置服务器IP、端口、以及应用图标、包名等信息。将apk文件安装到手机端,便可对手机实施监控。

图3-6 创建被控端应用

(3)以下显示我们通过SpyNote平台打包的应用已与控制端连接成功。

图3-7 服务端与控制端连接成功

(4)SpyNote间谍软件具有强大的命令行执行功能。

图3-8 执行命令行操作

(5)以及管理用户设备文件、应用、查看用户通话记录、联系人列表等功能。

图3-9 文件、应用、通讯录、联系人管理

SpyNote间谍软件具有强大的监控手机设备功能。安装该应用可能会带来个人隐私信息泄露、个人日常行为被监控、手机系统被破坏、个人财产被盗取等危害。

四、扩展分析

通过关联分析在恒安嘉新App全景平台态势平台上,我们发现多款SpyNote平台打包的恶意应用。这些恶意程序都是通过早期SpyNote平台打包的应用。

五、总结

“新型冠状病毒肺炎”的爆发掀起了威胁行为者传播移动恶意程序的热潮。Anubis、Cerberus、Joker等臭名远昭木马利用该热点大量分发恶意程序。“新型冠状病毒肺炎”相关的广告木马、短信蠕虫、勒索病毒也相继出现。

威胁行为者利用“新型冠状病毒肺炎”传播SpyNote间谍软件目的在于窃取用户隐私数据、监控用户行为并达到完全控制受害者手机的目的。SpyNote工具使用门槛极低,经过简单配置即可生成一款间谍软件,不管该间谍软件是针对哪类人群又或者是带有什么样的个人目的、政治目的,用户手机一旦被感染,将完全受他人监控。用户应提高自身网络安全意识,保护设备安全,留意手机上的异常行为和未知软件。

关注”暗影安全实验室”,我们将会持续关注移动安全事件,为用户提供更多移动安全知识。

*本文作者:暗影安全实验室,转载请注明来自FreeBuf.COM

# 间谍软件 # SpyNote # 新冠肺炎
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者