Lipizzan间谍软件:监控用户手机并窃取隐私

小龙 2017-7-30 信息安全 0 0

1. 背景

Google近期披露了一款名为Lipizzan的间谍软件家族(疑似采用的网络武器公司Equus Technologies的技术)试图监控用户的手机。在此之前,Google曾宣布成功阻止了另一款名为Chrysao的间谍软件,据称,此间谍软件很可能是由以色列间谍公司NSO Group集团制作,而Lipizzan间谍软件就是在研究Chrysaor的过程中被发现的。

Google透露Lipizzan可窃取用户的电子邮件,短信,地理位置,屏幕截图等用户隐私数据。目前有20几个相应变种被针对性分发到100个左右的设备上。

腾讯反诈骗实验室经过技术分析确认Lipizzan存在间谍行为的包是com.android.mediaserver,主要包含以下功能:通话录音,VOIP网络电话录音,麦克风录音,位置监控,屏幕截图,调用摄像头拍照,上传用户的设备信息和存储的其它文件,其它用户隐私数据 (通讯录, 通话记录, 短信, 指定应用的本地存储数据)。

受影响的app包括Gmail,Hangouts,KakaoTalk,LinkedIn,Messenger,Skype,Snapchat,StockEmail,Telegram,Threema,Viber,Whatsapp。

从目前的信息看,该间谍软件寄生于Google play应用市场,中招的用户主要是国外小部分用户,国内暂无中毒案例出现。

2. Lipizzan详细分析

(1)流程图

lipizzan流程图

(2)详细分析

母包释放子包的变化

初期:从服务器下载未加密的apk直接调用

从服务器下载未加密的apk直接调用

后期:本机加密文件,通过服务器下发AES解密key进行解密

生成下载链接

生成下载链接

对下载的子包进行解密

对下载的子包进行解密

母包生成并动态加载子包

母包生成并动态加载子包

子包行为

申请root权限

申请root权限

窃取短信记录

窃取短信记录

窃取手机联系人头像,手机号码等信息

窃取手机联系人头像,手机号码等信息

窃取whatsapp隐私文件

窃取whatsapp隐私文件

 窃取skype隐私文件

 窃取skype隐私文件

窃取Snapchat隐私文件

窃取Snapchat隐私文件

窃取StockEmail隐私文件

窃取StockEmail隐私文件

窃取Threema隐私文件

窃取Threema隐私文件

窃取Viber隐私文件

窃取Viber隐私文件

窃取KakaoTalk隐私文件

窃取KakaoTalk隐私文件

窃取LinkedIn隐私文件

窃取LinkedIn隐私文件

窃取Gmail隐私文件

窃取Gmail隐私文件

手机截图

手机截图

使用设备麦克风录音

使用设备麦克风录音

窃取voip录音

窃取voip录音

Image

卸载母样本

卸载母样本

卸载自身

卸载自身

上传信息

上传信息

(3)Lipizzan病毒跑机图

Lipizzan病毒跑机图

3. 腾讯手机管家查杀情况

目前腾讯手机管家已经全面查杀Lipizzan,用户只要安装腾讯手机管家并且开启实时防护功能即可拦截该间谍软件。

腾讯手机管家查杀情况腾讯手机管家查杀情况

4. 安全建议

同时,腾讯手机管家及腾讯移动安全实验室也针对此类病毒,给出如下安全建议:

(1)手机用户应通过腾讯手机管家或类似应用宝等正规渠道下载手机软件,不安装来自不明来源的应用安装提醒,确保手机应用的绿色安全。

(2)养成使用安全软件来保护手机安全的良好习惯。手机用户可下载安装如腾讯手机管家一类的手机安全软件,定期给手机进行体检和病毒查杀,移除存在安全风险的应用。

5. 关于腾讯安全实验室

腾讯移动安全实验室

基于腾讯手机管家产品服务,通过终端安全平台、网络安全平台和硬件安全平台为移动产业打造云管端全方位的安全解决方案。其中腾讯御安全专注于为个人和企业移动应用开发者,提供全面的应用安全服务。

腾讯安全反诈骗实验室

汇聚国际最顶尖白帽黑客和多位腾讯专家级大数据人才,专注反诈骗技术和安全攻防体系研究。反诈骗实验室拥有全球最大安全云数据库并服务99%中国网民。

*本文作者:腾讯电脑管家,转载请注明来自 FreeBuf.COM 

转载请注明来自华盟网,本文标题:《Lipizzan间谍软件:监控用户手机并窃取隐私》

喜欢 (0) 发布评论