近日,ESET 研究人员在 Google Play 中发现了首款基于 AhMyth 的间谍软件。这款恶意软件名为 Radio Balouch,又名 RB Music,是一款为 Balouchi 音乐爱好者提供流媒体广播的应用程序,不过它也有一个致命的缺陷——窃取用户的个人数据。这款应用曾两次潜入安卓官方应用商店,但在我们通知谷歌后,谷歌就迅速将其删除了。
AhMyth 是一种开源 Android RAT 工具,于 2017 年底公开发布。从那时起,便有各种各样基于它的恶意程序应运而生 ; 然而,Radio Balouch 却是第一个出现在官方 Android 应用商店中的间谍软件。
由于 AhMyth 中的恶意功能没有被隐藏、保护或混淆,因此将 Radio Balouch 应用程序 ( 以及其他衍生产品 ) 确定为恶意,并归类为 AhMyth 家族的过程是非常简单的。
除 Google Play 外,ESET 还在其他应用商店中检测到此恶意软件,检测为 Android / Spy.Agent.AOX。此外,它还通过专用网站、Instagram 和 YouTube 进行推广。ESET 已向各家的服务供应商进行了报备,但还未收到任何回复。
表面上看,Radio Balouch 是一个流媒体广播应用程序,但是在后台,这款应用会监视用户的行为和数据。
在 ESET 过去发现的两版恶意 Radio Balouch 中,每版大约都是 100+ 的下载量。首版于 2019 年 7 月 2 日出现,第二版则在 7 月 13 日出现。
图 1. 在 Google Play 上出现两次的恶意 Radio Balouch 应用程序
Radio Balouch 的宣传方式包括一个专用网站 radiobalouch [ . ] com,Instagram 以及 YouTube,Instagram 用于发布推广链接,YouTube 频道中有一个介绍该应用的视频,不过好像没怎么推广,因为视频才 21 个观看量。服务器的域名于 2019 年 3 月 30 日注册,在我们投诉后不久,该网站就被关闭了。
图 2. Radio Balouch 网站(左),Instagram 帐户(中)和 YouTube 视频(右)
功能
恶意 Radio Balouch 应用适用于 Android 4.2 及更高版本。它的网络广播功能与 AhMyth 的功能捆绑在了一起。
用户安装后,所有音乐广播功能都是能正常使用的。但额外添加的恶意功能能使应用程序窃取联系人信息,收集存储在设备上的文件以及利用设备发送短信。
虽然还有窃取设备上的 SMS 消息的功能,但由于 Google 最近的限制只允许默认的 SMS 应用访问这些消息,因此 Radio Balouch 还不能使用此功能。
考虑到 AhMyth 有许多功能不同的变体,Radio Balouch 如果与其他变体相结合,未来可能会解锁更多新功能。
启动后,用户首先需要选择语言 ( 英语或波斯语 ) ; 接着回应权限请求。Radio Balouch 会先请求访问设备上的文件,这是允许电台应用程序启用其功能的合法权限 ; 如果拒绝,收音机就无法工作。
然后应用程序请求访问联系人的权限。为了隐藏它对该权限的请求,它会暗示用户如果用户决定与联系人列表中的朋友共享该应用,则有必要使用该功能;如果用户拒绝授予联系人权限,应用程序也能照常运行。
图 3. Radio Balouch 应用程序的权限请求
安装完成后,该应用程序会打开带有音乐选项的主屏幕,并提供注册和登录选项。然而,任何 " 注册 " 都是没有意义的,因为任何输入都会将用户带入 " 登录 " 状态。可以看出开发人员的英语十分蹩脚,添加这一步很可能是为了获得受害者的凭证,用此账号密码登录其他应用——因为有些情况下,用户为了省事,把账号密码都设置为相同的。
图 4. Radio Balouch 应用程序的 Home(左)和 Settings(右)屏幕
至于 C&C 通信,Radio Balouch 依靠的是 radiobalouch [ . ] com 域。应用程序将收集的用户信息——被入侵设备的信息、账户凭证,以及受害者的联系人列表,以未加密 HTTP 连接方式传输至 C&C。
图 5. Radio Balouch 与其 C&C 服务器的通信
结论
Radio Balouch 恶意软件在 Google Play 商店中的出现应该可以为 Google 安全团队和 Android 用户敲响警钟。除非 Google 提高其安全防护能力,否则 Radio Balouch 或 AhMyth 的任何其他衍生产品的新版本都可能会出现在 Google Play 上。
虽然 Google 也在强调," 坚持使用官方来源的应用程序 ",但仅凭它还是无法保证绝对的安全性。这里我们强烈建议用户对每个预安装应用做仔细检查,并使用安全可靠的移动安全解决方案。
责任编辑: