移动APP背后的秘密:间谍APP大阅兵(1)

移动APP背后的秘密:间谍APP大阅兵(1)

qq黑客访客2021-10-12 9:09:0011205A+A-

  随着移动互联网技术的飞速发展,移动智能系统的逐步成熟,搭载着智能系统的手机、平板大量涌现,于是智能系统的重要组成部分App应用火了。无论您使用的是手机还是平板电脑,或者其他设备,面对如此海量的App,在安装和使用这些形形色色的App时是否想到过这样的事情,一些App背后偷偷地在窃取着您的个人敏感隐私!

 
  下面我们就来看看它们背后都做了哪些不可告人的秘密。
 
  一、窃取,无处不在
 
  1.1 盗取金融账号信息
 
  2013是互联网金融开始爆发的一年,针对这块”肥肉”恶意应用自然不甘寂寞。
 
  当点击招商银行登陆界面时,会跳转到SocketDemo这个activity。
 
  应用进入到SocketDemo这个activity,用户输入账户、手机号和密码,点击send按钮,便会向”1891128940″号码发送以上信息,从而盗取用户账号及密码。
 
  同时也发现有伪装成支付宝,工商银行,建设银行,交通银行等登录界面,几乎可以假乱真,实则后台获取账号密码等敏感信息并通过短信发送。
 
  以获取支付宝密码为例,分别获取支付宝账号,密码及支付密码并以#号连接,之后base64加密再短信形式发送。
 
  不仅仅是国内,国外的银行盗号也很严重。
 
  其中 Santander是一个西班牙银行的名称,Clave de firma是西班牙语,翻译后为:签名密钥。这个样本的主要行为就是:
 
  伪装成银行的在线口令生成器,诱骗用户在Clave de firma下的控件内输入自己的银行密码,并随机生成虚假的口令(mToken)显示给用户。这时用户的银行密码通过短信和网络的形式被泄露,并且在之后配合样本,截取到银行发送给用户的手机验证码,攻击者可以在用户完全不知情的情况下窃取用户的银行财富。
 
  1.2 盗取聊天应用消息记录
 
  “听风者”现实中的监听,该应用运行界面及网站功能说明,此软件还有一个登录后台可查看聊天记录
 
  国外间谍应用的功能更是有过之而无不及。
 
  其中左图为该程序运行后的界面,右图为后台查看的一些社交或聊天应用的消息。
 
  如获取whatsapp消息记录
 
  加强安全意识,增加安全防范,不要让无形的”听风者”让你成为某某门的主角哦。
 
  1.3 盗取更多隐私
 
  获取短信记录,如敏感的支付宝或银行相关信息
 
  获取通话录音、SMS信息、定位信息、环境录音
 
  获取手机通话记录
 
  获取SD卡文件列表。
 
  获取联系人信息
 
  没有想不到,只有做不到,一旦中招,就没有隐私可言了。知己知彼,接下来我们总结下这些间谍件的常用行为流程及功能,不要让自己成为”肉鸡”。
 
  二、控制方式
 
  2.1 短信指令控制
 
  家族:MguSpy.a
 
  说明:该程序运行后进行短信监听,接收远程短信指令控制。
 
  2.2 网络指令控制
 
  家族:Lien.d
 
  说明:连接恶意远程服务器,接收服务器指令控制
 
  2.3 google云推送
 
  家族:Tramp.a
 
  说明:其实该控制方式也属于网络的一种,只有不是直接由恶意远程服务器控制,而由google云服务器进行指令发送,具有一定隐蔽性。
 
  注册google GCM监听广播
 
  根据指令执行相关操作。
 
  三、隐私回传方式
 
  3.1 短信方式回传
 
  家族:Lurker.a
 
  说明:短信回传操作简单,实用(只要手机还有话费即可)。一般个人开发的程序采用此种方式,当然也有程序通过短信发送回执信息,如指令招行成功与否。
 
  发送短信记录
 
  发送通话记录
 
  3.2 网络方式回传
 
  家族:VladoSpy.a
 
  说明:一般通过网络回传的间谍件,都有一个功能强大的后台管理系统,进行统一查看或管理。该类间谍件一般功能强大,大都是要收费的。
 
  获取设备信息
 
  短信记录
 
  3.3 邮箱方式回传
 
  家族:Dd1d.e
 
  说明:通过邮箱发送用户相关信息或程序安装状态等。
 
  通过163邮箱进行发送
 
  已发送邮件
 
  四、常见功能
 
  典型功能:短信记录,通话记录,联系人等。
 
  4.1 获取短信记录
 
  访问短信常见协议
 
  4.2 获取通话记录
 
  常用uri: CallLog.Calls.CONTENT_URI;
 
  4.3 获取联系人信息
 
  获取联系人uri: android.provider.ContactsContract.CommonDataKinds.Phone.CONTENT_URI, android.provider.Contacts.People.CONTENT_URI
 
  4.4 通话录音
 
  常见的有通话或环境录音
 
  4.5 拍照
 
  拍摄照片
 
  五、借我一双慧眼–识别间谍应用
 
  5.1 无图标或隐藏图标
 
  无activity,安装无图标,仅有广播和服务。
 
  首次安装有图标,但下次运行会隐藏图标的。
 
  一般通过setComponentEnabledSetting API进行隐藏图标。
 
  5.2 激活设备管理器
 
  AM注册有激设备管理器,而又无图标或隐藏图标的。
 
  5.3 短信监听
 
  会监听短信,有拦截行为,同时会对短信内容进行判断的,如*,#开头的,等不同于一般用户发短信习惯的。
 
  5.4 大量可疑权限
 
  短信,联系人,定位等大量可疑权限,同时包名又比较可疑的。
 
  一般来说同时拥有以下三种或以上权限很可疑。
 
  5.5 邮件发送
 
  有邮件发送代码同时有大量可疑权限及服务。
 
  5.6 包名伪装系统服务
 
  包名和程序名伪装系统服务或应用。
 
  5.7 大量字串比较
 
  字串比较一般用于指令的匹配。
 
  如:startsWith
 
  如:equals
 
  5.8 字串表关键字
 
  直接搜索字串表,看到很多敏感关键字的。
 
  中文:指令,开启录音,通话,上传
 
  英文:uploadgps,uploadrecord
 
  其实明显指令提示信息。
 
  5.9 通话监听
 
  监听拨打电话并对号码进行判断的,所拨打号码一般包含*,#等,不是用户常规拨打号码。
 
  5.10 服务过多,activity较少。
 
  5.11 查看包结构
 
  间谍软件一般目地性较强,组织结构较清晰,若包名中包含:call,contact,gps,record,server,task等较为可疑。
 
  六、小结
 
  间谍类程序功能强大,一旦中招,个人将再无隐私可言,危害极大。同时还具有隐蔽性强(安装无图标,仅启动服务),不易清除(激活设备管理器,防卸载)等特点。针对此类间谍应用,安天安全专家建议,养成安全意识,从知名站点下载应用,未运行此软件用户可直接清除。
 
  同时可以下载AVL移动安全团队AVL Pro对恶意应用进行查杀。
点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 5条评论
  • 笙沉傻梦2022-06-04 10:05:03
  • 获取账号密码等敏感信息并通过短信发送。   以获取支付宝密码为例,分别获取支付宝账号,密码及支付密码并以#号连接,之后base64加密再短信形式发送。   不仅仅是国内,
  • 酒奴木緿2022-06-04 09:02:32
  • ting API进行隐藏图标。   5.2 激活设备管理器   AM注册有激设备管理器,而又无图标或隐藏图标的。   5.3 短信监听   会监听短信,有拦截行为,同时会对短信内容进行判断的,如*,#开头的,等不同于一般用户发短信习惯的。   5.4 大量
  • 鹿岛矫纵2022-06-04 03:58:18
  • 无图标,仅启动服务),不易清除(激活设备管理器,防卸载)等特点。针对此类间谍应用,安天安全专家建议,养成安全意识,从知名站点下载应用,未运行此软件用户可直接清除。   同时可以下
  • 只影鸽吻2022-06-04 07:50:43
  • 财富。   1.2 盗取聊天应用消息记录   “听风者”现实中的监听,该应用运行界面及网站功能说明,此软件还有一个登录后台可查看聊天记录   国外间谍应用的功能更是有过之而无不及。   其中左图为该程序运行后的界面,右图为后台查看的一些社交或聊天应用的消息。   如获取whatsapp消息记录 
  • 冬马涴歌2022-06-04 11:21:12
  • ONTENT_URI;   4.3 获取联系人信息   获取联系人uri: android.provider.ContactsContract.CommonDataKinds.Phone.CONTENT_URI, an

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理