强大的安卓监控软件Skygofree横空出世

阅读量296315

|评论1

发布时间 : 2018-01-17 15:36:05

x
译文声明

本文是翻译文章,文章原作者 Swati Khandelwal,文章来源:thehackernews.com

原文地址:https://thehackernews.com/2018/01/bittorent-transmission-hacking.html

译文仅供参考,具体内容表达以及含义原文为准。

 

卡巴斯基实验室的安全研究员发现了一款强大的安卓监控软件,并认为它出自活跃在监控软件市场上的一家意大利IT公司。研究人员将这款新型监控软件命名为 “Skygofree”,名称源于基础设施中使用的一些域名名称。研究人员发现 Skygofree 的活动始于2014年,不过最活跃的时段集中在2016年。

Skygofree 仅用于意大利

研究人员发现的所有传播活动仅针对意大利用户,且从卡巴斯基实验室提供的数据统计来看,似乎只有意大利用户受感染。研究人员还表示,Skygofree 的代码包含多个用意大利语写的字符串和注释,说明专门为针对意大利用户开发。

卡巴斯基实验室表示已经在 Skygofree 攻击活动中遇到很多 “negg” 字符串和构件。Negg International 是一家意大利IT软件公司,提供多种服务其中就包括网络安全服务和移动及web 应用开发。虽然卡巴斯基实验室官方并未将 Negg 认定为 Skygofree 的作者,但所有证据指向了这个结论。有可能卡巴斯基发现的这款网络工具是Negg 为执法部门开发供抓捕官方调查的嫌疑人使用。在信息安全圈子,这类工具被称为“合法拦截”或“合法监控”解决方案。Skygofree 感染范围小且仅用于意大利边境内。

 

Skygofree 是一款非常强大的监控工具

卡巴斯基实验室的研究人员在一份详细的技术报告中指出,Skygofree 安卓植入是他们在安卓平台上见过的最强大的监控软件工具之一。由于开发时间长,它具有多种非凡的能力:通过多个利用获取 root 权限、具有复杂的 payload 结构、从未见过的监控功能如记录某些未知附近的音频等。

根据技术报告归纳的 Skygofree 能力如下:

记录音频并将文件上传到远程服务器

当用户位于某个地理位置时记录周遭音频

通过运动检测追踪位置

GSM追踪 (CID、LAC、PSC)

窃取手机剪贴板数据

键盘记录功能

搜索文件并将被盗文件上传到远程服务器

Skygofree 可经由 HTTP、XMPP、二进制 SMS 和 FirebaseCloudMessaging 协议控制。

创建一个新的 WiFi 连接并强迫用户手机连接。该功能通过强迫手机和网络连接,让位于同一网络的人员执行中间人流量嗅探攻击。

能将自己添加到华为设备的“受保护 Apps”列表上。这个列表中的 app 能允许在手机屏幕关闭的情况下继续运行。

向受感染设备发送命令的反向 shell

包含 root利用 (CVE-2013-2094、CVE-2013-2595、CVE-2013-6282、CVE-2014-3153和CVE-2015-3636)。

能从即时消息 app 如 Line、Viber、WhatsApp、Facebook和 Facebook Messenger 中提取数据。

包含一个唯一利用,能使用 Android Accessiblity 服务读取展示在WhatsApp 用户屏幕上的会话。

研究人员还发现了和 Skygofree 相关的文件,文件显示 Skygofree 监控软件可能拥有感染 Linux (Busybox) 和 Windows 系统的 payload 和变体,尽管尚未发现此类感染案例。

尽管Skygofree 是最为高阶的安卓恶意软件之一,但它的源代码是通过多个开源项目组合而成的,其中一些开源项目托管在 GitHub 上如 PRISM(反向 shell)、android-rooting-tools(安卓root工具)、El3ct71k Keylogger(键盘记录器)和 Xenotix Python Keylogger(Windows 键盘记录器)。

本文翻译自thehackernews.com 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
奇安信代码卫士
分享到:微信

发表评论

奇安信代码卫士

奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。微信公号:codesafe。

  • 文章
  • 387
  • 粉丝
  • 104

热门推荐

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66