新闻快讯
< >

Maikspy间谍软件通过成人游戏感染Windows和Android用户

当心!Maikspy间谍软件通过成人游戏感染Windows和Android用户-E安全

趋势科技在本周二(5月8日)发布的博文中表示,其移动威胁响应团队发现了一个名为“Maikspy”的恶意软件家族,这是一种可以窃取受害者个人敏感数据的双平台间谍软件。具体来讲,它针对的是Windows和Android用户,最初版本可以追溯到2016年,并通过以美国成人电影女星命名的成人游戏应用传播。

对最新的Maikspy变体的分析显示,用于传播间谍软件的恶意应用程序——一款被称为“虚拟女友(Virtual Girlfriend)”的成人游戏应用,将通过一个成人游戏网站(miakhalifagame[.]com)被下载。趋势科技发现,一个Twitter账号正在积极推广这款游戏,并通过短链接分享恶意网站链接。

当心!Maikspy间谍软件通过成人游戏感染Windows和Android用户-E安全

针对Android 平台的Maikspy变种

当心!Maikspy间谍软件通过成人游戏感染Windows和Android用户-E安全

最新的样本是今年3月份发现的,这个Maikspy变种(由趋势科技检测为AndroidOS_MaikSpy.HRX)针对的是Android 用户,宣传广告以“虚拟女友”成人游戏来引诱受害者访问由攻击者控制的恶意网站。

当受害者在Twitter上打开该域名的短链接时,会出现一个显示性别选择按钮的页面。选择确定之后,另一个让受害者选择他们的“第一个女朋友(first girlfriend)”,并引导他们到下载页面。

当心!Maikspy间谍软件通过成人游戏感染Windows和Android用户-E安全

当下载的APK文件安装并启动后,它会将受感染设备的Unix时间戳发送到包含瑞典代码的电话号码(0046769438867)。趋势科技认为,这大概是用于设备的ID注册。

当心!Maikspy间谍软件通过成人游戏感染Windows和Android用户-E安全

随后,携带Maikspy的应用程序将显示“错误:401。应用程序不兼容。卸载中...(Error: 401. App not compatible. Uninstalling…)”,试图欺骗受害者认为应用程序已从设备中删除。然而,间谍软件只是隐藏了自己并在后台运行。在那里,恶意应用程序首先会检查所需的权限,然后继续执行其例程:

  • 窃取电话号码

  • 窃取帐户信息

  • 窃取已安装的应用程序名称列表

  • 窃取联系人

  • 窃取短信

在被上传到命令和控制(C&C)服务器之前,被窃取的信息将被写入.txt或.csv格式。

窃取并上传上述数据之后,恶意应用程序将每60秒检查一次来自C&C服务器的命令(CMD)。以下是完整的命令列表:

当心!Maikspy间谍软件通过成人游戏感染Windows和Android用户-E安全

此外,在应用程序在首次安装时会打开一个在线交友网站的注册页面,以引诱受害者填写并发放他们的信用卡信息。当用户点击注册时,他们的信用卡将被控制。计划背后的攻击者不仅能够获得受害者的信用卡信息,而且还能够通过信用卡窃取资金,只要受害者不要求退款。

当心!Maikspy间谍软件通过成人游戏感染Windows和Android用户-E安全

针对Windows平台的Maikspy变种

当心!Maikspy间谍软件通过成人游戏感染Windows和Android用户-E安全

对于在2017年4月发布的Maikspy的Windows变种(WORM_INFOKEY.A),用户将被诱骗下载一个MiaKhalifa.rar文件,其中包含以下屏幕截图中显示的文件:

当心!Maikspy间谍软件通过成人游戏感染Windows和Android用户-E安全

README.txt提供了受害者关于如何关闭防病毒软件以及如何打开网络的指导,只有受害者按照指导操作了,攻击者才能够窃取并上传数据到C&C服务器。

当心!Maikspy间谍软件通过成人游戏感染Windows和Android用户-E安全

register.bat用于获得管理员权限。

Uninstall.exe是开源黑客工具Mimikatz的副本,该工具能够从内存中提取明文密码、哈希、PIN码和Kerberos票据。对于Maikspy间谍软件而言,Uninstall.exe被用于获取Windows帐户和密码,然后将结果写入C:\ Users \%username%\ AppData \ local \ password.txt。

Setup.exe是用于窃取数据的核心模块。与前面提到的针对Android 平台的变种一样,它会首先向C&C服务器发送通知以注册设备。

之后,它会从以下目录中窃取.jpg、.jpeg、.png、.txt、.wav、.html、.doc、.docx和.rtf文件,以及目录的文件列表:

  • C:/Users /%username%/ Desktop

  • C:/Users /%username%/ Pictures

  • C:/Users /%username%/ Documents

  • C:/Users /%username%/ Downloads

此外,它还会窃取有关受感染计算机系统的信息,如默认浏览器、操作系统版本、Firefox版本、Chrome版本、IE版本和网络配置。

Round Year Fun和Maikspy之间的联系

趋势科技查看了推广“虚拟女友”的Twitter帐户(ID:Round Year Fun),该账户下的很多推文都在推广同一个游戏网站(roundyearfun [.]org)。除了“虚拟女友”,该网站还提供其他许多游戏应用的下载,包括在2016年用于传播Maikspy最初版本的成人游戏应用。

当心!Maikspy间谍软件通过成人游戏感染Windows和Android用户-E安全

不仅如此,趋势科技的分析表明,该网站也被用于存储受害者数据的C&C服务器。这些证据无疑透露出,Maikspy背后的攻击者同时控制着miakhalifagame[.]com和roundyearfun [.]org两个网站,而Round Year Fun这个Twitter账户同样是由其控制的。

2016年至2018年Maikspy的发展历史

Maikspy的第一个版本于2016年12月出现在Windows平台上。它通过以美国成人电影女星命名的成人游戏应用传播,能够通过fakeomegle[.]com来完成自我更新,并窃取位于桌面、图片、文档和下载文件夹中的.jpg、.jpeg、.png、.txt、.wav、.html、.doc、.docx和.rtf文件。另外,它还能够窃取诸如默认浏览器、操作系统版本、Firefox版本、Chrome版本、IE版本和网络配置等信息,并连接到107 [.] 180 [.] 46 [.] 243。

与此同时,这个间谍软件家族的第一个Android变种于2017年1月出现。同样以前面提到的成人游戏作为幌子,连接到上述C&C服务器。它能够记录通话和窃取设备位置、短信、联系人、WhatsApp数据库等信息,并在能够利用受感染设备来录制周围的声音。下一个变种很快出现,攻击者为它添加了以下功能:窃取剪贴板信息、电话号码、安装的应用程序列表和帐户信息。但是,删除了WhatsApp数据库的功能,并改变了命令格式。

在2017年3月,另一个新的变种被发布。当受害者使用相机拍摄照片时,它可以窃取照片。代码结构和应用程序安装包的名称也发生了变化,C&C服务器地址也切换到了使用198 [.] 12 [.] 155 [.] 84。

最后一个Windows版本出现在2017年4月,它体现出以下更改:C&C服务器切换为198 [.] 12 [.] 155 [.] 84,添加了窃取密码功能以及盗用。

在2017年6月和12月期间,Android变种出现了以下更改:C&C服务器切换为192 [.] 169 [.] 217 [.] 55,窃取通话记录的功能删除。并且,C&C服务器在短时间内再次切换为了198[.] 12 [.] 149 [.] 13。

在2018年1月,用于传播Android变种的应用程序的名称已经更改为了“虚拟女友”。两个月后,C&C服务器被切换为miakhalifagame [.] com,攻击者被发现开始使用HTTP协议来传输数据,窃取位置和图片的功能移除。

Maikspy变种与C&C服务器之间的关系

这些年来,Maikspy背后的攻击者多次更改了域名和IP地址,但有一点却始终没有改变。那就是,所有这些域名和IP地址都是由美国一家上市互联网域名注册和网站托管公司托管的,这使得趋势科技能够相对比较容易地找出Maikspy变种与C&C服务器之间的关系。

下图展示了Maikspy变种与198 [.] 12 [.] 155 [.] 84、roundyearfun [.] org 和192 [.] 169 [.] 217 [.]之间的连接。注意:绿色节点代表Android变种,而蓝色节点代表Windows变种。

当心!Maikspy间谍软件通过成人游戏感染Windows和Android用户-E安全

下图展示了Maikspy变种与107 [.] 180 [.] 46 [.] 243和fakeomegle [.] com之间的连接。

当心!Maikspy间谍软件通过成人游戏感染Windows和Android用户-E安全

最后一张图则展示了Maikspy变种与198 [.] 12 [.]149 [.] 13和miakhalifagame [.] com之间的连接。

当心!Maikspy间谍软件通过成人游戏感染Windows和Android用户-E安全