“即刻PDF閱讀器”被曝內置后門收集用戶隱私

近期，火絨安全團隊發現“即刻PDF閱讀器”內置后門程序，該后門程序會在用戶不知情的情況下，從C&C服務器上下載惡意配置文件，再根據配置文件下載惡意模塊到用戶電腦中。目前發現該病毒會肆意收集用戶個人隱私信息，如：QQ號、淘寶昵稱、電商購物記錄、電商和搜索引擎搜索記錄等隱私數據。

通過對其代碼和功能進行對比、溯源發現，該病毒和2020年就被火絨安全曝光的“起點PDF閱讀器”、“新速壓縮”等軟件存在同源性，并且其同源樣本已經多次被火絨發現并查殺。

病毒查殺圖

該病毒作者通過開發類似上述軟件并內置后門程序來收集用戶個人隱私數據已長達數年。通過“即刻PDF閱讀器”安裝包的數字簽名，可以得知該軟件由深圳市重誠遠順科技有限公司開發，相關信息如下圖所示：

即刻PDF閱讀器安裝包數字簽名

經企業信息檢索核實，可確認“即刻PDF閱讀器”為該公司所開發軟件，相關備案和軟件著作權信息如下圖所示：

其網站備案、軟件著作權信息

該病毒具有極高的隱蔽性：向C&C服務器請求惡意模塊時，C&C服務器會根據用戶的地理位置等信息進行下發配置，讓安全人員取證過程變得困難。火絨工程師幫助用戶處理該病毒問題時，發現該病毒還會通過注冊表回調來禁止軟件的驅動加載。在即刻PDF閱讀器目錄下，還發現多個被加密的惡意模塊，在此次取證過程中，只獲取到收集個人隱私信息相關的惡意模塊，不排除其后續下發更多惡意模塊的可能性。即刻PDF軟件目錄下大部分可執行文件都攜帶惡意功能如：JiKeSteor.exe、JiKeHcores.exe、JiKeIterh.exe、JikeMrong.exe等可執行文件。