Google发现间谍活动会监控和窃取有关目标的信息,包括电子邮件,邮件和通话。
Google的网络安全研究人员已经发现并阻止了一种新型强大的间谍软件,旨在妥协专门针对性的Android设备和间谍软件,从通信到位置。
命名为Lipizzan - 在一匹马之后 - 间谍恶意软件监控和窃取有关目标的电子邮件,文本和其他消息的信息,渗透有关联系人,监听和记录通话的信息,可以截取屏幕截图并记录音频和视频,并监视用户。
Google表示,该应用程序还具有从应用程序检索数据的例程,包括:
-
Gmail的
-
视频群聊
-
KakaoTalk
-
LinkedIn
-
信使
-
Skype的
-
Snapchat
-
StockEmail
-
电报
-
Threema
-
Viber的
-
WhatsApp的
已经发现少于100个装置被Lipizzan感染,但恶意软件的性质 - 就像之前的Chrysaor Android间谍软件一样 - 表明它被用于特定的个体。Chrysaor是一个Android版本的Pegasus移动间谍软件,由一个民族国家用来监控属于中东活动分子的iPhone
然而,虽然谷歌已经在博客上发表了一些发现,并在莱斯拉斯维加斯的黑帽上发表了一个演讲,但还没有详细说明谁是利比赞(Lipizzan)的目标对象,或者谁可能正在使用它的服务,威胁研究人员说他们发现在Equus Technologies的代码中引用了该术语,被称为“网络*器武**公司”。
被描述为“复杂的两阶段间谍软件工具”Lipizzan通过多个渠道发布,包括官方Google Play商店,伪装成隐藏在其中的恶意隐藏的备份或清洁程序等基本应用程序。总共有大约20个不同的应用程序被设计为传递恶意软件。
恶意应用能够绕过Google Play保护功能,因为在应用*载下**到设备之前没有发生妥协。
然而,安装后,Lipizzan*载下**并加载了第二个“许可证验证”,该许可证验证在生根之前检查设备,并连接到用于渗透有关通信和呼叫的数据的命令和控制服务器。
Google*锁封**了第一批Lipizzan应用程序,但即使是在删除后一周内上传了新版本; 这次设计看起来像应用程序,包括记事本,录音机和报警管理器。研究人员建议,这表明作者有一种方法可以轻松地改变种植体应用的品牌。
这些新版本的应用程序也改变了恶意软件的交付,从*载下**第2阶段的未加密版本到在应用程序中深入加密。如果专门指示运行高级加密标准密钥来解锁包,则第二阶段将仅运行。
不过,尽管发生了这些变化,Google已经能够在上传之后“赶快”抓住应用程序并将其从商店中删除。Google表示Google Play保护功能主动阻止了Lipizzan在设备上的新安装。
Google保留了其14亿Android用户中绝大多数安全的恶意软件,但恶意应用仍然可以通过。
但是,虽然此间谍软件仅影响Android设备的一小部分(0.000007%),而且仍然不清楚Equus的目标对象,以及他们如何确信*载下**应用程序,Google已经发布了有关防止Lipizzan和其他恶意软件的建议。
被告知用户选择使用Google Play保护,并专门从Google Play商店*载下**应用程式,因为「Google Play上安装PHA [潜在有害应用程式]的机会要比使用其他安装机制要低得多)“。还敦促Android用户使用最新版本的操作系统来保护他们的手机。