“系统更新” Android恶意软件

Android用户正面临着一种新的复杂Android恶意软件的威胁，该恶意软件冒充为“系统更新”应用程序。信息安全研究人员最近发现了这种威胁。根据他们的发现，“系统更新”恶意软件具有多种威胁功能，包括一些鲜为人知的功能，完善的命令和控制（C2，C＆C）基础架构，以及用于传入和传出通信的不同服务器，以及避免检测技术。

如果能够渗透到用户的设备，则“系统更新”恶意软件会有效地充当RAT（远程访问木马），可以收集和渗透数据，执行入站命令并控制受感染设备的某些功能。必须注意的是，这种威胁尚未能够破坏官方的Google Play商店，而是通过第三方应用程序平台传播。

多种复杂功能

“系统更新”恶意软件具有多种威胁功能，使攻击者可以在受感染的Android设备上执行各种恶意操作。一旦建立，该威胁就会启动与Firebase C＆C服务器的通信。在初始交换期间，将发送有关受感染设备的各种数据，包括-系统上是否存在WhatsApp，电池电量，存储统计信息和Internet连接类型。从Firebase消息传递服务收到的令牌旁边的信息用于将设备注册到C＆C。恶意软件威胁仅使用Firebase C＆C接收传入的命令，而所有渗出的数据都是通过POST请求传递到其他C＆C服务器的。

威胁收到的特定命令会触发不同的功能。 “系统更新”恶意软件可以访问麦克风并开始录制音频或录制电话对话。收集的数据将被保存为ZIP存档文件，然后再上传到C＆C服务器。威胁使用户不断请求重新启用辅助功能，如果成功，它将尝试从WhatsApp的屏幕上抓取对话和消息详细信息。

间谍软件会建立大量的侦听器，观察并广播其意图，这些意图会触发特定的威胁性操作，例如收集剪贴板数据，监视SMS，联系人，呼叫日志，通知，GPS位置等。将扫描受感染设备中存储的文件，并对其进行任何扫描大小小于30MB并被认为有价值的文件，例如具有.pdf，.docx，.doc，.xlsx，.xls，.pptx和.ppt扩展名的文件，将被复制，然后渗入C＆C服务器。还将从流行的Web浏览器（如Samsung Internet Browser，Google Chrome和Mozilla Firefox）中抓取更多私人用户数据（例如书签和搜索历史记录）。

间谍软件非常了解其收集的数据是最新的。它从GPS或网络捕捉位置数据，并每5分钟更新一次。用该设备的相机拍摄的任何照片也使用相同的技术，只是将间隔增加到40分钟。

多种技巧掩盖异常活动

除了其广泛的RAT和间谍软件功能外，“系统更新”恶意软件还配备了多种旨在防止其被他人窥探的技术。更基本的设置包括阻止受威胁的应用程序的图标在受感染设备的抽屉选项卡或菜单中正确显示。包含要收集的信息的任何文件都会在从远程服务器中成功提取数据后立即被删除，然后立即删除。当收集存储在包含大量视频图像的外部存储中的文件时，间谍软件将重点放在收集适当的缩略图上。与创建大量异常带宽路径的替代方法相比，这种方法可以使威胁活动相对不被察觉。

如果在受感染设备的屏幕关闭的情况下，“系统更新”恶意软件从Firebase C＆C服务器接收到命令，则会生成虚假通知来误导用户。该通知假装是由设备的操作系统通过显示错误的“正在搜索更新..”消息生成的。