監視公司搞了款間諜軟體，偷偷放在谷歌商店裡

宅客頻道4月3日消息，研究人員在谷歌官方應用 Google Play 中發現了一款未知間諜軟體。有意思的是，這款間諜軟體與美國國家安全局（NSA）沒有聯繫，反而和購買了監控攝影頭的意大利政府扯上了關係。

這一軟體由 Motherboard和Security Without Borders（一個非營利組織，經常調查持不同政見者和人權維護者被威脅事件）的研究人員聯合調查發現，Motherboard表示，這是安全研究員首次接觸到由監視公司生成的惡意軟體，其被稱為 eSurv。

根據上周五安全無國界組織發布的調查結果技術報告，發現 eSurv 在兩年內多次上傳至 Google Play 商店，在Play商店中保留數月後重新上傳。

Motherboard方表示，他們初步推斷該惡意程序來自意大利政府，而且是從銷售監控攝影頭的公司購買的。因為在eSurv中的代碼中發現了意大利文字片段，例如來自卡拉布裡亞的方言詞“mundizza”，以及來自卡拉布裡亞的著名退休足球運動員RINO GATTUSO的名字（這是eSurv所在地區）。

eSurv 在發出連接命令並控制伺服器後會調用惡意軟體 Exodus，Exodus 有兩副面孔。表面上偽裝成無害的應用程序，執行接收意大利當地手機提供商的促銷和行銷服務或者提供優化設備性能的功能。暗地裡卻進行數據收集，其中收集的信息包括：用戶已安裝的應用程序、瀏覽歷史記錄、通訊錄、短信、位置數據、Wi-Fi密碼等。這些信息被收集後打包發送至控制伺服器，背後操控者可以輕易獲取。

更可怕的是，Exodus還可以激活攝影頭和麥克風來捕獲音頻和視頻，並在使用時對應用程序進行螢幕截圖。

另外，Exodus包含了一個名為“CheckValidTarget”的函數，該函數據說可以“驗證”新感染的目標。但研究人員表示，由於惡意軟體立即在他們使用的刻錄機手機上激活，所以沒有太多“驗證”正在進行，並在整個測試過程中保持活躍。

更有意思的是，Exodus 代碼沒有采取保護措施。意味著這款間諜軟體在受感染的手機上打開了一個遠程命令shell，但沒有使用任何加密或身份驗證，因此與受感染設備在同一Wi-Fi網絡上的任何人都可以對其進行入侵。例如，如果受感染的設備連接到公共Wi-Fi網絡，任何其他主機都能夠簡單地連接該端口，無需任何形式驗證。

也就是說，間諜軟體不僅可以窺探了用戶數據，更可能間接導致這些數據被篡改。

事實上，幾乎每隔一段時間 Google Play 就會被曝出隱藏惡意軟體，對於Google Play用戶來說，似乎已經習以為常：

2018年1月，趨勢科技的研究人員在Google Play上發現了36個惡意應用程序，有些應用甚至被當做安全工具使用；

2018年2月，谷歌宣布在2017年刪除了超過70萬款不良APP，阻止了100,000惡意應用程序的開發人員分享惡意軟體；

2018年5月，SophosLabs發現照片編輯器應用程序隱藏了Google Play上的惡意軟體；

2018年12月，Sophos的研究人員再次發現惡意軟體，這些應用程序在未經用戶允許的情況下下載文件，並最終耗盡用戶手機的電量。最終Google Play商店下架了22款惡意軟體；

2019年2月，研究人員在谷歌官方應用Google Play中發現了一種名為“clipper”的惡意軟體。該惡意軟體會自動攔截剪貼板的內容，並使用攻擊性內容將其替換掉。在加密貨幣交易的情況下，受影響的用戶最終可能會將複製的錢包地址悄悄切換到攻擊者的地址……

VIA nakedsecurity

---

“喜歡就趕緊關注我們”

宅客『Letshome』

雷鋒網旗下業界報導公眾號。

專注先鋒科技領域，講述黑客背後的故事。

長按下圖二維碼並識別關注