j9真人游戏潜伏4年安卓间谍软件伺机操控手机!只感染有钱人还能隐藏踪迹最近,罗马尼亚杀毒软件Bitdefender的研究人员发现了一种多阶段安卓间谍软件(multi-stage Android spyware),自2016年起就一直“完全控制手机设备”,窃取信息和加密货币,侵入银行帐户,甚至通过恢复出厂设置来掩盖其踪迹。
不过,如果你没什么钱j9真人游戏,那么大可不必担心,据数据显示,这款间谍软件非常“嫌贫爱富”,只有在背后的操作人判断受害者有足够的钱值得窃取时,才会被激活,目前已经感染了成千上万的用户。
如今,已确认感染了Mandrake的应用已从谷歌商店中删除,但可以肯定的是,还有一些谷歌无法肯定是否感染的应用仍然被保留了下来。
因此谷歌建议,为避免更多用户感染这种病毒,请自行确保手机设置为不接受来自“未知来源”的应用程序,最好再安装一些杀毒软件。
尽管所有Mandrake相关的内容都已从谷歌商店中删除,但Toms Guide发现在Facebook和YouTube上仍然会有相关内容的显示。
如果不小心安装了这些看似无害的应用程序,它就会马上开始收集有关用户手机设备和周围环境的信息,但此时它还不会做任何可怕的事情。在后续使用中,如果该应用不能很好地实现广告宣称的功能j9九游会,当用户去谷歌商店上打差评,恶意软件的操作者甚至还会出面道歉并承诺改进。
除此之外,第一阶段还会引诱你授权从谷歌商店外部安装应用,随即进入第二阶段——“加载程序”(loader),为避免引起用户怀疑,该程序自称为“安卓系统”。“加载程序”会潜伏在后台,收集更多有关你的信息,发送给恶意软件操作员,直到他们确定你是否足够有钱来。
如果你成为他们的攻击对象,那么加载程序将进入第三阶段,即“核心Mandrake恶意软件”(Core)。
Bitdefender写道:“考虑到间谍平台的复杂性,我们假设每次攻击都是针对性的,就像外科手术那样具有精确度,而且是手动操作而非自动化执行。”
“我们估计当前Mandrake间谍软件浪潮中的受害者有数万人,从2016年至今这4年时间里j9真人游戏,受害者可能达到了数十万。”
三步窃取信息已经足够可怕了,但这还没完,当遇到“危险”时,Mandrake还会自动恢复手机至出厂设置,保证不会暴露自己。
在引诱用户时,Mandrake通过在屏幕上放置伪造的覆盖窗口来欺骗用户j9九游会 - 真人游戏第一品牌,例如必须同意的用户许可协议,这些都是针对不同手机j9九游会 - 真人游戏第一品牌、屏幕尺寸、语言和安卓版本而量身定制的,当用户点击“确定”接受协议时,就是授予了Mandrake管理特权。
授权成功后,Mandrake会将所有短信转发给攻击者,将通话记录转发给其他号码,阻止呼叫功能,安装或删除应用程序,窃取联系人列表,隐藏通知j9九游会,记录屏幕活动,窃取Facebook和在线银行帐户的密码,创建网络钓鱼页面来窃取Gmail和亚马逊的资质证明,跟踪你的位置。
“coup de grce”是内置于名为“seppuku(切腹)”恶意软件中的命令,该命令以一种日本仪式性的形式命名,命令执行后j9九游会,便将进行返厂级别的设备清洗,从而删除恶意软件的所有痕迹以及所有用户数据。
而且,由于之前授权了Mandrake管理权限,即使是万能的重启或卸载第一阶段应用程序,也难以保证摆脱核心恶意软件的攻击j9九游会。
2016年,Mandrake首版oxide面世,主要由一个模仿Adobe的初始应用程序组成,不过此时中心内核部分已经初步确定。同年,第二版briar出现j9真人游戏,在第二版中没有增加额外的功能,不过要注意的是,从第二版开始就奠定了其模仿通用安卓应用程序的传统。
2016年末j9九游会,第三版ricinus出现,以第三版为基础,Mandrake一直到今天仍然在不断更新发展。在第三版中,Mandrake已经能够实现诸如屏蔽手机呼叫和过滤SMS历史记录的功能。
一年多后,在2018年7月,darkmatter掀起第二波浪潮,研究人员表示,尚不清楚他们为什么要等这么久,但可以肯定的是要升级系统是需要花费时间的。
这时,Mandrake将战场引向了谷歌商店,他们开始在谷歌商店部署样本,规范结构,最终形成了上述“加载程序“和核心Mandrake恶意软件”两个步骤。“加载程序”是通过谷歌商店分发的,这与普通应用程序一样,但同时Mandrake还具有下载和加载核心附加程序的功能。
在这个阶段,Mandrake进化得相当快,但ricinus没有进一步发展下去,至少从收集的样本来看是这样的。这种结构没有持续下去的原因之一,或许在于留下了太多可被追踪到的痕迹。
对这些应用程序来说,代码自然是越少越好,只需要满足下载一个加载程序组件并创建受害者的初始配置文件就足矣,Mandrake在这方面就做得十分完美。
这种精巧的能力,以及有针对性的攻击,通常会被认为是国家级的间谍活动,但Bitdefender的研究人员认为j9九游会 - 真人游戏第一品牌,更多的证据表明,这只是纯犯罪驱动的金钱掠夺。
比如,Bitdefender假设到,按照俄罗斯的标准模式,Mandrake不会攻击俄罗斯或前苏联的安卓用户,但Mandrake同时还避开了整个非洲、所有讲阿拉伯语的国家和其他许多贫穷国家。同时,由于未知的原因,它也避免将其自身安装在装有Verizon SIM卡或中国移动运营商的SIM卡的电话上。
目前可以确定的是,Mandrake的主要目标是澳大利亚,其次是北美,西欧(和波兰)以及南美一些较富裕地区。
对于这些地区的富人们,Bitdefender也给出了值得参考的内容:“删除Mandrake的唯一方法是在安全模式下启动设备,删除设备管理员的特殊权限并手动卸载。”
往更深了说,这类问题究竟是技术作为双刃剑所不可避免的弊端,或是将在某一天能够被技术本身所解决j9九游会,在未来技术的不断发展中,我们也希望看到一种答案的可能形式。