近期,Google 和 Lookout 的安全研究专家发现了一款非常复杂的 Android 间谍软件,它不仅可以从手机的聊天软件中窃取用户的隐私数据,还可以通过手机的摄像头和麦克风来监视用户的一举一动。更重要的是,它还可以进行自毁操作,而正是由于这款间谍软件拥有非常智能的自毁机制,因此它在三年之后的今天才被研究人员发现。
这款间谍软件名叫 Chrysaor,攻击者此前曾使用这款 Android 间谍软件攻击以色列、格鲁吉亚、土耳其和墨西哥等国的活跃分子以及新闻记者。据称,这个间谍软件很可能是由以色列间谍公司 NSO Group 集团制作的,也就是去年利用 iOS 恶意软件 Pegasus 来攻击阿联酋人权活动家的那家公司。
外界广泛认为,NSO Group 可以制作出地球上最先进的移动端间谍软件,而且他们会将这些产品出售给他国政府、执法机构以及独裁政权。
Chrysaor 分析
这款名叫 Chrysaor 的 Android 间谍软件具备以下几种功能:
1. 从目前热门的 App 中窃取数据,受影响的应用包括 Gmail、WhatsApp、Skype、Facebook、Twitter、Viber 以及 Kakao 等。
2. 通过 SMS 短信来远程控制目标设备。
3. 在后台记录实时视频和语音信息。
4. 键盘记录和屏幕截图。
5. 禁用系统的自动更新以防止设备漏洞被修复。
6. 通过自毁机制来躲避检测。
Google 的安全研究人员表示,他们已经通过 VerifyApps 确定了这一恶意软件的影响范围,并且相关人员也与很多潜在的感染用户取得了联系,及时清除了受感染设备上的恶意软件,并通过修改 VerifyApps 的响应机制来保护用户的安全。
这种威胁之所以难以检测到,是因为当它发现任何有可能威胁到自身的检测行为时,它可以将自己从目标设备中删除。Lookout 的安全研究专家 Michael Flossman 是这样形容Chrysaor 的:“如果 Chrysaor 感觉自己可能会被发现,那么它便会立刻将自己删除。”例如出现下面这几种情况时,Pegasus 将会进行自毁操作:
1. SIM MCC ID 无效;
2. 设备中存在与安全产品有关的文件;
3. 持续六十天无法与后台服务器连接;
4. 接收到服务器发送过来的自毁命令;
Lookout 的研究人员认为,Chrysaor APK 可以通过基于 SMS 的钓鱼信息来进行传播,就像 Pegasus 感染 iOS 设备一样。Chrysaor 利用的是一个名叫 Framaroot 的著名 Android 漏洞,并利用这个漏洞来 root 目标设备并获取设备的完整控制权。更重要的是,在此期间 NSOGroup 很可能还发现了很多新的 Android0 day 漏洞,并将相应的漏洞利用代码更新到了新版本的 Chrysaor 间谍软件之中。
感染情况
Google 的研究人员发现,受到这款恶意软件影响的用户大部分都位于以色列境内,还有一些受害者也分布在格鲁吉亚、墨西哥和土耳其等国家。
研究人员推测,攻击者很可能是通过钓鱼攻击来诱使目标用户下载恶意代码的,当这款恶意软件成功感染目标设备之后,它便会开启键盘记录功能,并从很多当前流行的 App 中窃取数据,例如 WhatsApp、Facebook 和 Gmail 等等。
其复杂程度不言而喻
由于 Chrysaor 的种种特性,Lookout 也称其为目前最复杂的间谍软件。它的 iOS 变种甚至利用了三个此前未被发现的漏洞,而且还可以获取 iOS 设备的完整控制权并对用户进行监控。
当时,这款间谍软件感染了一名阿联酋人权主义者的手机,而这也是 Chrysaor 首次进入我们的视野。当时,他的手机收到了一条 SMS 文字短信,而这条短信中则包含有指向 Chrysaor 间谍软件的恶意链接。
在了解到这一事实之后,苹果公司也迅速发布了一个漏洞补丁。Lookout 在拿到 Chrysaor 的 Android 端样本之后,便与 iOS 端样本进行比对,比对的结果也与 Google 的研究人员进行了共享。分析结果表明,与 iOS 端版本不同的是,Chrysaor 的 Android 端版本并没有利用任何此前未知的安全漏洞,而利用的是很多老 Android 版本中的漏洞。
结束语
目前,GooglePlay 应用商店中还没有发现 Chrysaor 的身影,而且受感染设备数量较低这一事实也意味着大多数用户不会遇到这个麻烦。
Lookout 已经发布了一份关于 Chrysaor 的详细技术报告,其标题为《Pegasusfor Android: Technical Analysis and Findings of Chrysaor》,如果你还想了解更多关于 Chrysaor 的内容,请参考这篇详细报告。【PDF 下载地址】
参考来源:thehackernews、networkworld、securityaffairs, FB 小编 Alpha_h4ck 编译,转载请注明来自 FreeBuf.COM