Android间谍软件框架Triout 安卓系统监控功能恶意软件

  • A+
所属分类:网络安全新闻
阿里代金券


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

Android间谍软件框架Triout 安卓系统监控功能恶意软件

研究人员透露,命令和控制(C&C)服务器自2018年5月以来一直在运行,并且在报告发布时它仍在运行。

Triout最初是在5月15日提交给VirusTotal的,尽管第一个样本是从俄罗斯上传的,其他大部分来自以色列。

恶意软件可能通过托管恶意代码的攻击者控制的第三方市场或域传播。

“由Bitdefender的机器学习算法于20.07.2018发现,该样本的第一次出现似乎是 15.05.2018,当时它被上传到VirusTotal。该应用程序似乎是“com.xapps.SexGameForAdults”(MD5:51df2597faa3fce38a4c5ae024f97b1c)的重新打包版本,受污染的.apk文件名为208822308.apk。“读取Bitdefender发布的报告。

“原始应用程序似乎已于2016年在Google Play中推出,但此后已被删除。虽然尚不清楚受污染的样本是如何传播的,但第三方市场或其他一些攻击者控制的域很可能用于托管样本。“

Bitdefender指出,分析后的样本未经过混淆,导致专家们认为该框架可能是一项正在进行的工作。

“这可能表明该框架可能正在进行中,开发人员正在测试功能和与设备的兼容性,”该报告继续说道。

发现Triout间谍软件正在分析一个维护所有原始功能的受污染应用程序。Bitdefender分析的样本是2016年在Google Play中列出的成人应用程序的重新打包版本,但此后被删除。这意味着攻击者可能通过第三方渠道将其提供。

Triout实现了广泛的监控功能,包括:

记录每个电话(字面意思是对话作为媒体文件),然后将其与来电者ID一起发送到C&C(incall3.php和outcall3.php)
将每条传入的短信(短信主体和短信发送者)记录到C&C(script3.php)
有隐藏自我的能力
可以将所有呼叫日志(“content:// call_log / calls”,info:callname,callnum,calldate,calltype,callduration)发送到C&C(calllog.php)
每当用户使用前置或后置摄像头拍摄照片时,它都会被发送到C&C(uppc.php,fi npic.php或reqpic.php)
可以将GPS坐标发送到C&C(gps3.php)

CE安全网

发表评论

您必须登录才能发表评论!