間諜軟體潛入Google Play

• 2019 年 10 月 4 日
• 筆記

研究人員發現了第一個已知的間諜軟體，它建立在Ahmyth開源惡意軟體的基礎上，並繞過了Google的應用審查過程。這個惡意的應用程式叫做RadioBalouch，又稱RBMusic，實際上是一個為Balouchi音樂愛好者提供的流媒體應用程式，而它的關鍵在於竊取用戶的個人數據。該應用兩次悄悄地進入了Android官方應用商店，但在我們向Google發出警告後，都被Google迅速刪除。

綜述

Ahmyth是一個開源的遠程訪問工具，Radio Balouch借用了它的惡意功能，該工具於2017年底公開發布。從那以後，我們已經看到了基於它的各種惡意應用程式；但是，Radio Balouch應用程式是第一個出現在官方Android應用程式商店中的應用程式。Radio Balouch是一款針對特定於Balouchi音樂的全功能流媒體廣播應用程式

由於Ahmyth中的惡意功能沒有被隱藏、保護或混淆，因此將Radio Balouch應用程式（以及其他衍生產品）識別為惡意並將其歸類為屬於Ahmyth家族是很簡單的。

在google play上，我們發現了兩次不同版本的惡意的Radio balouch應用程式的，每一次該應用程式都被安裝了100多此。我們於2019年7月2日向Google安全團隊報告了該應用程式首次出現在Android官方商店，並在24小時內被刪除。

Radio Balouch惡意應用程式於2019年7月13日重新出現在Google Play上。這一應用程式也被ESET立即報告並迅速被Google刪除。

從Google Play中刪除後，惡意應用程式僅在第三方應用程式商店中可用。它還通過相關Instagram帳戶推廣的鏈接從專用網站radiobalouch[.]com傳播。該伺服器還用於間諜軟體的C&C通訊（見下文）。該域名於2019年3月30日註冊，在我們投訴後不久，該網站就關閉了。

目前攻擊者的Instagram帳戶仍然提供一個指向已從Google Play中刪除的應用程式的鏈接。他們還建立了一個YouTube頻道，其中一個影片介紹了這個應用程式，因為影片目前只有21瀏覽量。

功能

惡意的Radio Balouch應用程式可在Android 4.2及更高版本上運行。它的互聯網多媒體功能與Ahmyth的功能捆綁在一個惡意應用程式中。

在安裝後，互聯網多媒體組件功能齊全，播放一段Balouchi音樂。但是，添加的惡意功能使應用程式能夠竊取聯繫人、獲取存儲在設備上的文件並從被感染的設備發送簡訊。

惡意軟體還提有竊取存儲在設備上的簡訊的功能。但是，由於Google最近的限制只允許默認的簡訊應用程式訪問這些資訊，因此無法使用此功能。

由於Ahmyth有更多的功能的變體，因此Radio Balouch應用程式和基於此開源間諜工具的任何其他惡意軟體將來可能通過更新獲得更多功能。

啟動後，用戶選擇自己喜歡的語言（英語或波斯語）；在下一步中，應用程式開始請求許可權。首先，它請求訪問設備上的文件，這是多媒體應用程式啟用其功能的合法許可權；如果拒絕，多媒體將無法工作。

然後，應用程式請求訪問聯繫人的許可權。如果用戶拒絕授予聯繫人許可權，應用程式將繼續工作。

設置完成後，應用程式將打開帶有音樂選項的主螢幕，並提供註冊和登錄選項。然而，任何「註冊」都是毫無意義的，因為任何輸入都會使用戶進入「登錄」狀態，這一步是為了吸引受害者的憑據，並嘗試使用獲得的密碼入侵其他服務，這提醒人們不要在服務之間重複使用密碼。

憑證是通過HTTP連接以未加密的方式傳輸的。

Radio Balouch依賴於RadioBalouch[.]COM域（現已失效）進行C&C通訊。它將發送它收集到的關於受害者的資訊，特別是被感染設備的資訊，以及受害者的聯繫人列表。與帳戶憑據一樣，C&C流量是通過HTTP連接以未加密的方式傳輸的。

結論

Google Play商店上出現的Balouch惡意軟體（重複出現）應該可以警示Google安全團隊和Android用戶。除非Google提高了它的安全防護能力，否則一個新的Balouch克隆品或Ahmyth的任何其他衍生產品可能會出現在Google Play上。

儘管關鍵的安全要求「堅持官方應用程式源」仍然存在，但單憑它是不能保證安全的。強烈建議用戶仔細檢查他們打算在設備上安裝的每個應用程式，並使用聲譽良好的移動安全解決方案。

IoCs

*參考來源：welivesecurity，由Kriston編譯，轉載請註明來自FreeBuf.COM