Android 惡意軟件偽裝成系統更新應用程序，可監控用戶

研究人員發現了一款新的、“復雜的”安卓間諜軟件應用程序，它偽裝成軟件更新。

據Zimperium zLabs稱，該惡意軟件偽裝成系統更新應用程序，同時悄悄泄露用戶和手機數據。

應當注意，團隊檢測到的示例應用程序是在第三方存儲庫中找到的，而不是在官方的Google Play商店中找到的。

安裝后，受害者的設備會注冊到用于發布命令的Firebase命令與控制（C2）服務器，而單獨的專用C2用于管理數據盜竊。

該團隊表示，一旦滿足條件（包括添加新的移動聯系人，安裝新的應用程序或收到SMS消息），就會觸發數據泄露。

該惡意軟件是一種遠程訪問木馬（RAT），能夠竊取GPS數據和SMS消息，聯系人列表，通話記錄，收獲圖像和視頻文件，秘密記錄基于麥克風的音頻，劫持移動設備的相機拍照，查看瀏覽器。書簽和歷史記錄，竊聽電話并竊取手機上的操作信息，包括存儲統計信息和已安裝的應用程序列表。

由于RAT濫用Accessibility Services來訪問這些應用程序（包括WhatsApp），因此即時通訊程序內容也面臨風險。

如果受害設備已經根植，則也可以獲取數據庫記錄。該應用程序還可以專門搜索文件類型，例如.pdf，.doc，.docx，.xls和.xlsx。

RAT還將嘗試從外部存儲中竊取文件。但是，考慮到某些內容（例如視頻）可能太大而無法在不影響連接性的情況下進行竊取，因此僅提取了縮略圖。

研究人員指出：“當受害者使用Wi-Fi時，所有文件夾中的所有被盜數據都將發送到C2，而當受害者使用移動數據連接時，只會將特定的一組數據發送到C2。”

限制移動連接的使用是一種防止用戶懷疑其設備已受到威脅的方法。此外，一旦將信息打包并發送到C2，就會刪除存檔文件，以免被發現。

為了確保僅獲取相關的和最新的數據，RAT的運營商已對內容施加了時間限制-例如最新的GPS記錄，如果被竊取的數據記錄包含過去五分鐘以上的值，則一次又一次被竊取。照片也設置為40分鐘計時器。

Zimperium將該惡意軟件描述為“功能復雜的復雜間諜軟件行動”的一部分。

本月初，谷歌從Play商店中撤出了許多Android應用程序，其中包含用于存放木馬的投遞器。該實用程序應用程序包括虛擬專用網絡（VPN）服務，記錄器和條形碼掃描儀，用于安裝mRAT和AlienBot。