首款间谍软件潜入Google Play

2019-08-29 12:09:329723人阅读


近日,ESET研究人员在Google Play中发现了首款基于AhMyth的间谍软件。这款恶意软件名为Radio Balouch,又名RB Music,是一款为Balouchi音乐爱好者提供流媒体广播的应用程序,不过它也有一个致命的缺陷——窃取用户的个人数据。这款应用曾两次潜入安卓官方应用商店,但在我们通知谷歌后,谷歌就迅速将其删除了。

AhMyth是一种开源Android RAT工具,于2017年底公开发布。从那时起,便有各种各样基于它的恶意程序应运而生;然而,Radio Balouch却是第一个出现在官方Android应用商店中的间谍软件。

由于AhMyth中的恶意功能没有被隐藏、保护或混淆,因此将Radio Balouch应用程序(以及其他衍生产品)确定为恶意,并归类为AhMyth家族的过程是非常简单的。

除Google Play外,ESET还在其他应用商店中检测到此恶意软件,检测为Android / Spy.Agent.AOX。此外,它还通过专用网站、Instagram和YouTube进行推广。ESET已向各家的服务供应商进行了报备,但还未收到任何回复。

表面上看,Radio Balouch是一个流媒体广播应用程序,但是在后台,这款应用会监视用户的行为和数据。

在ESET过去发现的两版恶意Radio Balouch中,每版大约都是100+的下载量。首版于2019年7月2日出现,第二版则在7月13日出现。


1566827917116193.png

图1.在Google Play上出现两次的恶意Radio Balouch应用程序

Radio Balouch的宣传方式包括一个专用网站radiobalouch [.] com,Instagram以及YouTube,Instagram用于发布推广链接,YouTube频道中有一个介绍该应用的视频,不过好像没怎么推广,因为视频才21个观看量。服务器的域名于2019年3月30日注册,在我们投诉后不久,该网站就被关闭了。


1566827937808361.png

图2. Radio Balouch网站(左),Instagram帐户(中)和YouTube视频(右)


功能


恶意Radio Balouch应用适用于Android 4.2及更高版本。它的网络广播功能与AhMyth的功能捆绑在了一起。

用户安装后,所有音乐广播功能都是能正常使用的。但额外添加的恶意功能能使应用程序窃取联系人信息,收集存储在设备上的文件以及利用设备发送短信。

虽然还有窃取设备上的SMS消息的功能,但由于Google最近的限制只允许默认的SMS应用访问这些消息,因此Radio Balouch还不能使用此功能。

考虑到AhMyth有许多功能不同的变体,Radio Balouch如果与其他变体相结合,未来可能会解锁更多新功能。

启动后,用户首先需要选择语言(英语或波斯语);接着回应权限请求。Radio Balouch会先请求访问设备上的文件,这是允许电台应用程序启用其功能的合法权限;如果拒绝,收音机就无法工作。

然后应用程序请求访问联系人的权限。为了隐藏它对该权限的请求,它会暗示用户如果用户决定与联系人列表中的朋友共享该应用,则有必要使用该功能;如果用户拒绝授予联系人权限,应用程序也能照常运行。


1566827971167484.png

图3. Radio Balouch应用程序的权限请求

安装完成后,该应用程序会打开带有音乐选项的主屏幕,并提供注册和登录选项。然而,任何“注册”都是没有意义的,因为任何输入都会将用户带入“登录”状态。可以看出开发人员的英语十分蹩脚,添加这一步很可能是为了获得受害者的凭证,用此账号密码登录其他应用——因为有些情况下,用户为了省事,把账号密码都设置为相同的。


1566828000951647.png

图4. Radio Balouch应用程序的Home(左)和Settings(右)屏幕

至于C&C通信,Radio Balouch依靠的是radiobalouch [.] com域。应用程序将收集的用户信息——被入侵设备的信息、账户凭证,以及受害者的联系人列表,以未加密HTTP连接方式传输至C&C。 


1566828022610109.png

图5. Radio Balouch与其C&C服务器的通信


结论


Radio Balouch恶意软件在Google Play商店中的出现应该可以为Google安全团队和Android用户敲响警钟。除非Google提高其安全防护能力,否则Radio Balouch或AhMyth的任何其他衍生产品的新版本都可能会出现在Google Play上。

虽然Google也在强调,“坚持使用官方来源的应用程序”,但仅凭它还是无法保证绝对的安全性。这里我们强烈建议用户对每个预安装应用做仔细检查,并使用安全可靠的移动安全解决方案。


本文翻译自:https://www.welivesecurity.com/2019/08/22/first-spyware-android-ahmyth-google-play/

原文地址: https://www.4hou.com/info/news/19927.html

翻译作者:Change


0
现金券
0
兑换券
立即领取
领取成功