窃听电话的Hacking Team RCSAndroid木马
安卓设备小心:4.0-4.3版本都可以被RCSAndroid 搞定。
安卓平台上的远程控制木马RCSAndroid是目前曝光的安卓中最专业、最复杂的恶意程序之一。
自Hacking Team信息泄漏以来,安全领域每天都被一些漏洞、exp等等消息所覆盖,当然还有更多的信息尚待挖掘。现在,终于轮到安卓了,可惜是个非常不好的消息:一个新的远程访问木马(RAT)。
RCSAndroid有十种“超能力”
趋势科技研究人员发现的这种新木马叫做RCSAndroid,并称之为是迄今为止安卓中“最专业和最复杂”的恶意程序之一。
该远程访问木马经过进化,可以在没有root权限的情况下入侵手机并无法被清除。最好的建议就是寻求手机制造商的帮助,重新清理手机。
RCSAndroid可以执行以下10种间谍功能:
·使用“screencap”指令进行截图,并可直接读取屏幕缓冲群内容
·监视剪贴板的内容
·收集Wi-Fi网络及各种网络账户密码,包括Skype、Facebook、Twitter、Google、WhatsApp、Mail和LinkedIn。
·使用麦克风录音
·记录短信、多媒体信息和Gmail消息
·记录定位坐标
·收集设备信息
·使用前置、后置摄像头拍照
·收集账户中的联系人并解码通信,账户包括Facebook Messenger、WhatsApp、Skype、Viber、Line、微信、Hangouts、Telegram以及黑莓消息
·拦截系统的mediasever服务,可时录下任何电话与App的语音通话
这个木马可以通过不同方式感染设备,但通常是以带有URL的短息或者邮件进行传播。
“在安卓4.0至4.3版本的默认浏览器中,这个URL将触发对任意内存读取(CVE-2012-2825)漏洞及堆缓冲区溢出(CVE-2012-2871)的利用,攻击者进而可以执行另一个本地提权。当获得root后,便会安装一个shell后门和RCSAndroid代理APK文件。”
RCSAndroid代码研究
一旦安装了RCSAndroid,它便开始如集束炸弹般勤奋工作,在部署多个危险陷阱的同时,还会使用大量技术手段侵染设备。
通过研究代码,趋势科技发现整套系统包括四大部分:
1、渗透工具:通过短信、邮件或者正常应用程序而进入设备内部
2、低阶原生代理程式:突破安卓安全架构的进阶漏洞攻击及监控工具
3、高阶Java代理程式:应用程序的恶意APK文件
4、指挥控制(C&C)服务器:用于远程发送或接受恶意命令
安全建议
为了对这种类型的恶意软件进行防范,用户应该遵循以下操作:
·拒绝从未知来源的第三方渠道下载应用程序安装包。
·不断将你的安卓设备系统更新到最新版本,以防止漏洞利用。不过,值得注意的是据Hacking Team泄露出的一封客户邮件发现,该公司已经在开发针对Android 5.0的木马程序。
·安装一个安全应用程序来防御威胁。
RCSAndroid的泄露已经让它成了一个公开的商业间谍利器。使用者最好即使掌握其最新发展动向,并留意设备是否遭遇监听的迹象。而值得怀疑的现象包括系统出现异常行为,比如:不能正常开机、设备中出现的一些不明应用程序、通讯软件闪退等等。
官方 