新闻快讯
< >

微信、微博、陌陌等APP用户小心!新型安卓木马可窃取聊天记录

E安全4月4日讯 日前,网络安全企业 Trustlook 公司的安全研究人员发现了一种新型 Android 恶意软件。该软件专门从移动即时通讯(IM)客户端窃取数据,十余款热门即时通讯应用软件受影响。

Android木马自Facebook Messenger、Skype以及其它多种IM客户端处窃取数据-E安全

Android 恶意软件功能单一

Trustlook 公司的研究人员在2018年4月2日发布的报告中指出,这款新型木马的设计非常简单,仅拥有以下几项功能:

一、从受感染应用程序的资源当中解压代码,以篡改应用引导过程以实现持久驻留。随后该代码会尝试修改“/system/etc/install-recovery.sh”文件,成功后,该文件将在应用每次启动时都执行这个 Android 恶意软件。

二、该恶意软件可以从以下 Android IM 客户端当中提取数据。这些数据将被上传至远程服务器,同时,该恶意软件会从本地配置文件当中检索远程服务器的 IP 地址。能够被该恶意软件从Android IM 客户端提取数据的应用软件包括:

  • Facebook Messenger

  • Skype

  • Telegram

  • Twitter

  • 微信

  • 微博

  • Viber

  • Line

  • Coco

  • BeeTalk

  • 陌陌

  • Voxer Walkie Talkie Messenger

  • Gruveo Magic Call

  • TalkBox Voice Messenger

研究人员在一款名为 Cloud Module(云模块)的中国应用当中发现了该恶意软件,其软件包名称为 com.android.boxa。

功能简单,但回避检测的技术则非常先进

Trustlook 公司的研究人员表示,尽管该恶意软件单纯着眼于窃取 IM 数据,但其采用了多种先进的回避检测技术。例如,该恶意软件会利用反仿真器与调试器检测技术以逃避动态分析,还会在源代码当中隐藏字符串以阻止代码逆向尝试。

从理论角度看,这样的精心的设计一般用于收集私人对话、图像以及视频,试图从中找到敏感数据并对高知名度这类用户进行勒索。

目前,研究人员尚未发布与该恶意软件传播方法的任何信息,但考虑到该恶意软件拥有中文名称,且中国尚未上线官方 Google Play软件商店,因此该恶意软件的作者很可能会通过 Android 上的第三方商店及应用程序论坛中的链接进行代码分发。

附该恶意软件信息:

  • MD5:ade12f79935edead1cab00b45f9ca996

  • SHA256:1413330f18c4237bfdc523734fe5bf681698d839327044d5864c9395f2be7fbe

  • 大小:1774802字节

  • 应用程序名称:Cloud Module(中文)

  • 安装包名称:com.android.boxa

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。