图1.名为“Corona Updates”的虚假冠状病毒疫情APP

图2.ProjectSpy服务器登录页面

分析表明，该APP具有许多功能：

• 上载GSM、WhatsApp、Telegram、Facebook和Threema消息
• 上载语音便笺、已存储的联系人、帐户、通话记录、位置信息和图片
• 上载收集到的设备信息（例如，IMEI、主板、制造商、Android版本、应用程序版本、名称、型号品牌、用户、序列号、硬件、引导程序和设备ID等）
• 上载SIM信息（例如，IMSI、运营商代码、国家/地区、MCC移动国家/地区、SIM序列号、营商名称和手机号码等）
• 上载wifi信息（例如，SSID、wifi速度和mac地址等）
• 上载其他信息（例如，显示、日期、时间、指纹、创建时间和更新时间等）

通过滥用通知权限来读取通知内容并将其保存到数据库，该APP能够从多款流行的消息聊天APP中窃取消息。

图3.拦截通知并将内容保存到数据库中

图4.滥用通知权限来读取通知内容

ProjectSpy的早期版本

基于域名搜索，趋势科技很快发现了于2019年5月出现在google Play的另一个ProjectSpy版本。

图5.2019年5月版本与2020年3月版本包含相同的域名

分析表明，2019年5月版本的ProjectSpy具有如下功能：

• 收集设备和系统信息（即IMEI、设备ID、制造商、型号和电话号码）、位置信息、已存储的联系人和通话记录
• 收集并发送短信
• 通过相机拍照
• 上传录制的MP4文件
• 监听通话

进一步搜索后，趋势科技还发现了另一个伪装成音乐播放器APP（名为“Wabi Music”）的ProjectSpy版本，其开发人员名为“concipit1248”。

图6.伪装成音乐播放器APP的ProjectSpy及其登录页面

分析表明，这个ProjectSpy版本具有与2019年5月版本相似的功能，但进行了如下修改：

• 增加了从WhatsApp、Facebook和Telegram窃取消息的功能
• 删除了以FTP模式上传图片的功能

据说，除功能和外观上的差异外，这两个版本的ProjectSpy的代码几乎一模一样。

iOS版本的ProjectSpy

基于代码和“Concipit1248”的搜索，趋势科技还在App Store中找到了另外两个ProjectSpy应用程序。

图7.App Store中的两个ProjectSpy应用程序，开发人员名为“Concipit Shop”

在iOS应用程序的代码中，趋势科技找到了与ProjectSpy Android版本代码中相同的服务器地址。

图8.iOS应用程序的代码显示了相同的服务器地址

分析表明，这两款iOS应用程序的间谍功能尚不完善，这可能意味着它们还处于开发阶段。

结语

借助社会热点来传播恶意软件是网络黑客常用的手段，这也是为什么ProjectSpy在近期会被伪装成冠状病毒疫情APP的主要原因。

尽管功能尚不完善，但ProjectSpy的出现还是再一次给我们提了一个醒——一是，在下载某款APP之前，一定要仔细查看其下方的评论，尤其是差评；二是，在安装的时候，一定要留意它所请求的权限，即使它来自官方应用商店。