新变种Exodus病毒 或将在未来感染多数安卓机

新变种Exodus病毒 或将在未来感染多数安卓机

来源TGBUS原创作者瓶子哥2019-04-09

研究人员最近发现了一种新的手机监控操作,该操作能够偷偷地从运行Android操作系统的手机中窃取各种数据。

一条来自外媒的消息:研究人员最近发现了一种新的手机监控操作,该操作能够偷偷地从运行Android操作系统的手机中窃取各种数据。研究人员认为,恶意软件是出售给执法机构和政府的所谓“合法拦截”软件。

作为Android手机的恶意软件被称为Exodus,至少已经开发了五年。它被传播到伪装成意大利移动运营商的服务应用程序的应用程序中。Exodus隐藏在网络钓鱼网站上可用的应用程序中,以及Google Play中提供的近25个应用程序。在两周前发表的一份报告中,安全无国界组织的研究人员表示,Exodus受感染的手机估计数百万甚至上千。

包括三个不同的阶段:

初期,它收集有关设备的基本识别信息,例如  IMEI和电话号码,并将其发送到命令和控制服务器。在研究人员的测试电话被第一阶段感染后几乎立即安装了第二阶段,并且还向控制服务器报告。这导致研究人员相信所有感染第一阶段的手机都会被后来的阶段不加区别地感染。

新变种Exodus病毒 或将在未来感染多数安卓机

第二阶段包含多个二进制包,实现了大部分高级监视功能。一些变体使用固定到应用程序的自签名证书加密通信。二进制文件还可以利用特定设备上可用的功能。例如,一个二进制文件使用华为手机中的“protectedapps”功能,即使在屏幕变暗时也能保持Exodus运行,而不是暂停以减少电池消耗。

第三阶段将尝试让Exodus获得对受感染手机的根控制,通常是使用被称为DirtyCOW的漏洞。完全安装后,Exodus能够进行大量监视,包括:

检索已安装的应用程序列表

使用3gp格式的内置麦克风录制周围环境

从Chrome和SBrowser(三星手机附带的浏览器)中检索浏览历史记录和书签

从日历应用中提取事件

提取通话记录

以3gp格式录制电话

使用嵌入式相机拍照

收集周围蜂窝塔(BTS)的信息

提取地址簿

从Facebook应用程序中提取联系人列表

从Facebook Messenger对话中提取日志

截取前景中任何应用的截图

从图库中提取图片信息

从Gmail应用中提取信息

从IMO Messenger应用程序转储数据

从Skype应用程序中提取呼叫日志,联系人和消息

检索所有SMS消息

从Telegram应用程序中提取消息和加密密钥

从Viber messenger应用程序转储数据

从WhatsApp中提取日志

检索通过WhatsApp交换的媒体

提取Wi-Fi网络的密码

从微信应用程序中提取数据

提取手机的当前GPS坐标


回到顶部