竊密手法多元的Android間諜軟體，冒充系統更新程式流傳

安全廠商發現一隻有多種惡意手法的間諜軟體，冒充Android系統更新程式誘騙用戶下載。

Zimperium的掃瞄引擎偵測到一隻遠端存取木馬（Remote Access Trojan，RAT），出現在非官方（即非Google Play Store）的線上軟體商店，偽裝成系統更新（System Update）程式誘使Android用戶下載。它在受害裝置上可執行多種行為，包括竊取訊息、圖片及各種資料，也能控制Android裝置。

研究人員指出，這隻尚未命名的RAT程式，除了結合Firebase及專門的C&C伺服器外，還擁有少見的多種竊密手法。一旦安裝到用戶裝置，即利用受害裝置的WhatsApp線上/離線狀態、電池電量、儲存統計，或由Firebase通訊服務接到的令牌(token)及連線型態等資料，向Firebase C&C伺服器註冊。但是第一時間它能刻意不顯示於系統選單，以隱藏行蹤。

在受害裝置上，這隻間諜軟體會在多種情形下觸發竊密和資料外洩行為，像是利用Android的contentObserver和Broadcast receiver新增聯絡人、接到新的簡訊、安裝新App等。Firebase通訊服務是用以接獲指令而啟動蒐集行為，像是麥克風錄音、或是外洩簡訊內容。其他目標資訊包括手機聯絡人、通話紀錄、搜尋特定副檔名（包括.PDF、docx、.xls、.xlsx）的檔案或剪貼簿資料、裝置資訊（如應用程式清單、裝置名稱）。

所有裝置上搜尋到想要的資料，不論是對話內容、聯絡人或電話紀錄後，會立即以加密的ZIP檔案上傳到C&C伺服器。它還會挑選特定日期之前的資料不送，以免資料太舊。而為了不留下蹤跡，這隻間諜軟體會在接到C&C伺服器回應「行動成功」後，立即刪除檔案。

此外，一旦它取得Android控制權，又能進行進一步竊密。像是錄音、拍照、濫用裝置的輔助服務（Accessibility Services），透過偵測螢幕內容以蒐集WhatsApp的交談、訊息內容及資料庫檔案（如果具根權限）、偷看Google Chrome、Mozilla Firefox或Samsung Internet Browser書籤和搜尋紀錄、監控GPS定位，連儲存在外部儲存裝置及快取中的資料都不放過。

除了竊密外，這隻間諜程式也能執行任務排程，並請求手機核准忽略電池最佳化以免任務中斷。（如下圖所示）

Zimperium研究人員認為，從竊密手法多樣性及躲避偵測的技巧來看，這隻間諜軟體能力可謂罕見。該公司也公布了入侵指標（Indication of Compromise）及C&C伺服器網址，以供安全人員偵測。