新型安卓木马病毒预警:能窃取微信微博聊天记录
近日,安全研究人员从一款中文Android应用程序中发现了一种新型的木马病毒,可以窃取微信、微博等软件中的聊天记录等数据。
一、窃取微信微博聊天记录的木马攻击方式简析
移动安全公司Trustlook实验室的安全研究人员在一款中文Android应用程序中,发现了一种新型的木马病毒,该木马病毒能够从移动即时通讯软件中窃取数据。
据悉,该木马病毒可以从受感染应用程序的资源中解压代码以获得引导持久性,之后,该代码将尝试篡改系统的配置文件,一旦获得成功,便会允许受感染设备每次启动时执行木马病毒。
随后,木马病毒就可以轻松的从多款Android 即时通讯软件中提取数据,而这些数据将在稍后上传到攻击者的远程命令和控制服务器,远程服务器的IP地址被包含在了木马病毒的配置文件中,木马病毒也会从该远程服务器中获取命令。
二、该木马病毒的针对目标分析
据了解,该木马病毒针对的Android 即时通讯软件目标包括:Facebook Messenger、Skype、Telegram、Twitter、微信、微博、陌陌、Viber、Line、Coco、BeeTalk、Voxer Walkie Talkie Messenger、Gruveo Magic Call、TalkBox Voice Messenger。
从上述列表中我们看到,这款木马病毒的针对性极强,而且其攻击目标涵盖了绝大部分知名即时通讯软件,安卓聊天工具软件几乎被其一网打尽。
三、该木马功能简单但逃避检测能力强大
尽管该木马病毒只具备少数几项功能,但其却使用了一些先进的逃避技术,比如说,它能够使用反仿真器和调试器检测技术来逃避动态分析,并且还在其源代码中隐藏字符串以阻止逆向工程的尝试。
但让人觉得奇怪的是,这款木马病毒虽然采取了不少先进的逃避技术,却被设计为仅实现单一的恶意功能,那就是窃取并上传受害者的即时通讯软件数据,这点就让人十分费解了。
对此,安全研究人员分析,这样的设计很有可能是攻击者在为恐吓勒索活动做准备,毕竟之前也曾发生过攻击者专门收集受害人相关的聊天记录、视频和图片来试图从中查找敏感信息的做法。
而且,这些信息居然在后面的勒索活动中发出出了关键作用,尤其是对一些公众任务来说,这样的操作方式简直是非常非常有效的。
四、我国目前暂无感染案例
值得注意的是,尽管这种木马病毒是从一款中文应用软件中被发现的,而且Google Play应用商店目前在我国很少有人使用,因此被传播到国内的可能性相对较小。
不过,这并不代表可能性就不存在, 因为病毒的传播是多样性的,可能会通过邮件、某些第三方应用商店、软件共享网站或者论坛传播、甚至是一些即时通讯软件进行传播。
而且,Trustlook实验室截至目前并未对该木马病毒的传播方式等相关的信息进行分享,因此国内用户专业人士对这款病毒的了解比较少,更别提我们普通用户了。
因此,笔者在这里提醒诸位安卓用户朋友,请务必提高警惕,不要随意下载安装来自不明渠道的安装包,更不要随意打开邮件、论坛网站上的不明链接,防止设备感染病毒!