近日,网络安全公司趋势科技发现了一场目前正处于筹备阶段的网络间谍活动,攻击者试图使用一种名为“ProjectSpy”的间谍软件感染瞄准了Android和IOS设备(趋势科技分别将其检测为AndroidOS_ProjectSpy.HRX和IOS_ProjectSpy.A)。
根据趋势科技的说法,他们是在上个月底偶然发现了一个伪装成冠状病毒疫情App的ProjectSpy样本(命名来源于APP的后端服务器登录页面)。
图1.名为“Corona Updates”的虚假冠状病毒疫情APP
图2.ProjectSpy服务器登录页面
分析表明,该APP具有许多功能:
通过滥用通知权限来读取通知内容并将其保存到数据库,该APP能够从多款流行的消息聊天APP中窃取消息。
图3.拦截通知并将内容保存到数据库中
图4.滥用通知权限来读取通知内容
基于域名搜索,趋势科技很快发现了于2019年5月出现在google Play的另一个ProjectSpy版本。
图5.2019年5月版本与2020年3月版本包含相同的域名
分析表明,2019年5月版本的ProjectSpy具有如下功能:
进一步搜索后,趋势科技还发现了另一个伪装成音乐播放器APP(名为“Wabi Music”)的ProjectSpy版本,其开发人员名为“concipit1248”。
图6.伪装成音乐播放器APP的ProjectSpy及其登录页面
分析表明,这个ProjectSpy版本具有与2019年5月版本相似的功能,但进行了如下修改:
据说,除功能和外观上的差异外,这两个版本的ProjectSpy的代码几乎一模一样。
基于代码和“Concipit1248”的搜索,趋势科技还在App Store中找到了另外两个ProjectSpy应用程序。
图7.App Store中的两个ProjectSpy应用程序,开发人员名为“Concipit Shop”
在iOS应用程序的代码中,趋势科技找到了与ProjectSpy Android版本代码中相同的服务器地址。
图8.iOS应用程序的代码显示了相同的服务器地址
分析表明,这两款iOS应用程序的间谍功能尚不完善,这可能意味着它们还处于开发阶段。
借助社会热点来传播恶意软件是网络黑客常用的手段,这也是为什么ProjectSpy在近期会被伪装成冠状病毒疫情APP的主要原因。
尽管功能尚不完善,但ProjectSpy的出现还是再一次给我们提了一个醒——一是,在下载某款APP之前,一定要仔细查看其下方的评论,尤其是差评;二是,在安装的时候,一定要留意它所请求的权限,即使它来自官方应用商店。