“系統更新” Android惡意軟件

Android用戶正面臨著一種新的複雜Android惡意軟件的威脅，該惡意軟件冒充為“系統更新”應用程序。信息安全研究人員最近發現了這種威脅。根據他們的發現，“系統更新”惡意軟件具有多種威脅功能，包括一些鮮為人知的功能，完善的命令和控制（C2，C＆C）基礎架構，以及用於傳入和傳出通信的不同服務器，以及避免檢測技術。

如果能夠滲透到用戶的設備，則“系統更新”惡意軟件會有效地充當RAT（遠程訪問木馬），可以收集和滲透數據，執行入站命令並控制受感染設備的某些功能。必須注意的是，這種威脅尚未能夠破壞官方的Google Play商店，而是通過第三方應用程序平台傳播。

多種複雜功能

“系統更新”惡意軟件具有多種威脅功能，使攻擊者可以在受感染的Android設備上執行各種惡意操作。一旦建立，該威脅就會啟動與Firebase C＆C服務器的通信。在初始交換期間，將發送有關受感染設備的各種數據，包括-系統上是否存在WhatsApp，電池電量，存儲統計信息和Internet連接類型。從Firebase消息傳遞服務收到的令牌旁邊的信息將用於向C＆C註冊設備。惡意軟件威脅僅使用Firebase C＆C接收傳入的命令，而所有滲出的數據都是通過POST請求傳遞到其他C＆C服務器的。

威脅收到的特定命令會觸發不同的功能。 “系統更新”惡意軟件可以訪問麥克風並開始錄製音頻或錄製電話對話。收集的數據在上載到C＆C服務器之前，將另存為ZIP存檔文件。威脅使用戶不斷請求重新啟用輔助功能，如果成功，它將嘗試從WhatsApp的屏幕上抓取對話和消息詳細信息。

間諜軟件會建立大量的偵聽器，觀察並廣播其意圖，這些意圖會觸發特定的威脅性操作，例如收集剪貼板數據，監視SMS，聯繫人，呼叫日誌，通知，GPS位置等。將掃描受感染設備中存儲的文件，並對其進行任何掃描。大小小於30MB並被認為有價值的文件，例如具有.pdf，.docx，.doc，.xlsx，.xls，.pptx和.ppt擴展名的文件，將被複製，然後滲入C＆C服務器。還將從流行的Web瀏覽器（如Samsung Internet Browser，Google Chrome和Mozilla Firefox）中抓取更多私人用戶數據（例如書籤和搜索歷史記錄）。

間諜軟件非常了解其收集的數據是最新的。它從GPS或網絡捕捉位置數據，並每5分鐘更新一次。用該設備的相機拍攝的任何照片也使用相同的技術，只是將間隔增加到40分鐘。

多種技巧掩蓋異常活動

除了其廣泛的RAT和間諜軟件功能外，“系統更新”惡意軟件還配備了多種旨在防止其被他人窺探的技術。最基本的設置包括阻止受威脅的應用程序的圖標在受感染設備的抽屜選項卡或菜單中正確顯示。包含要收集的信息的任何文件都會在從遠程服務器中成功提取數據後立即被刪除，然後立即刪除。當收集存儲在包含大量視頻圖像的外部存儲中的文件時，間諜軟件將重點放在收集適當的縮略圖上。與創建大量異常帶寬路徑的替代方法相比，這種方法可以使威脅活動相對不被察覺。

如果在受感染設備的屏幕關閉的情況下，“系統更新”惡意軟件從Firebase C＆C服務器接收到命令，則會生成虛假通知來誤導用戶。該通知假裝是由設備的操作系統通過顯示錯誤的“正在搜索更新..”消息生成的。