警惕！新型间谍软件ProjectSpy现身谷歌、苹果两大应用商店 _间谍软件

文章插图

近日，网络安全公司趋势科技发现了一场目前正处于筹备阶段的网络间谍活动，攻击者试图使用一种名为“ProjectSpy”的间谍软件感染瞄准了Android和IOS设备（趋势科技分别将其检测为AndroidOS_ProjectSpy.HRX和IOS_ProjectSpy.A）。
发现过程根据趋势科技的说法，他们是在上个月底偶然发现了一个伪装成冠状病毒疫情App的ProjectSpy样本（命名来源于APP的后端服务器登录页面）。

文章插图
图1.名为“Corona Updates”的虚假冠状病毒疫情APP

文章插图
图2.ProjectSpy服务器登录页面
分析表明，该APP具有许多功能：

上载GSM、WhatsApp、Telegram、Facebook和Threema消息
上载语音便笺、已存储的联系人、帐户、通话记录、位置信息和图片
上载收集到的设备信息（例如，IMEI、主板、制造商、Android版本、应用程序版本、名称、型号品牌、用户、序列号、硬件、引导程序和设备ID等）
上载SIM信息（例如，IMSI、运营商代码、国家/地区、MCC移动国家/地区、SIM序列号、营商名称和手机号码等）
上载wifi信息（例如，SSID、wifi速度和mac地址等）
上载其他信息（例如，显示、日期、时间、指纹、创建时间和更新时间等）

通过滥用通知权限来读取通知内容并将其保存到数据库，该APP能够从多款流行的消息聊天APP中窃取消息。

文章插图
图3.拦截通知并将内容保存到数据库中

文章插图
图4.滥用通知权限来读取通知内容
ProjectSpy的早期版本基于域名搜索，趋势科技很快发现了于2019年5月出现在google Play的另一个ProjectSpy版本。

文章插图
图5.2019年5月版本与2020年3月版本包含相同的域名
分析表明，2019年5月版本的ProjectSpy具有如下功能：

收集设备和系统信息（即IMEI、设备ID、制造商、型号和电话号码）、位置信息、已存储的联系人和通话记录
收集并发送短信
通过相机拍照
上传录制的MP4文件
监听通话

进一步搜索后，趋势科技还发现了另一个伪装成音乐播放器APP（名为“Wabi Music”）的ProjectSpy版本，其开发人员名为“concipit1248” 。

文章插图
图6.伪装成音乐播放器APP的ProjectSpy及其登录页面
分析表明，这个ProjectSpy版本具有与2019年5月版本相似的功能，但进行了如下修改：

增加了从WhatsApp、Facebook和Telegram窃取消息的功能
删除了以FTP模式上传图片的功能

据说，除功能和外观上的差异外，这两个版本的ProjectSpy的代码几乎一模一样。
iOS版本的ProjectSpy基于代码和“Concipit1248”的搜索，趋势科技还在App Store中找到了另外两个ProjectSpy应用程序。

文章插图
图7.App Store中的两个ProjectSpy应用程序，开发人员名为“Concipit Shop”
在iOS应用程序的代码中，趋势科技找到了与ProjectSpy Android版本代码中相同的服务器地址。

文章插图
图8.iOS应用程序的代码显示了相同的服务器地址
分析表明，这两款iOS应用程序的间谍功能尚不完善，这可能意味着它们还处于开发阶段。
结语借助社会热点来传播恶意软件是网络黑客常用的手段，这也是为什么ProjectSpy在近期会被伪装成冠状病毒疫情APP的主要原因。
尽管功能尚不完善，但ProjectSpy的出现还是再一次给我们提了一个醒——一是，在下载某款APP之前，一定要仔细查看其下方的评论，尤其是差评；二是，在安装的时候，一定要留意它所请求的权限，即使它来自官方应用商店。

【警惕！新型间谍软件ProjectSpy现身谷歌、苹果两大应用商店】