研究员在谷歌Play商店发现20多款应用中存在安卓监控软件Exodus,该恶意软件被指由和意大利政府之间存在商务关系的意大利公司eSurv开发。
这些应用被删除,截止本文发稿前,eSurv网站访问返回的是404错误。该页面中引用的LinkedIn和推特账户也不复存在,而YouTube账户也被清空。
Security Without Boarders公司的研究人员分析称,Exodus是一款伪装成由意大利移动运营商分发的强大的但存在缺陷的监控软件。该公司认为受感染的用户数量少说也有数百人。
两个元素
这款监控软件由两个元素组成:Exodus One和ExodusTwo。它收集手机基本信息如IMEI代码和电话号码并返回给C&C。然而,似乎并无需进行验证:研究人员手机上安装Exodus后,它在初次登录后立即下载payload。
这个被激活的payload被称之为Exodus Two。这个payload的主要组件是mike.jar和用于多种不同目的的编译工具如用于处理权限提升和获取数据的rootdaemon。
收集提取数据能力强大
Exodus收集提取数据的能力强大,可收集常见的详情如所安装应用、浏览历史、地址簿、Facebook通讯录和GPS坐标、以及开启麦克风并实施监听、利用摄像头拍照等。它能够检索所有的SMS信息、从Telegram中提取信息以及加密密钥、从Viber中转储数据、通过WhatsApp提取日志并检索所有的媒体记录,并从Skype中提取日志、通讯录和信息等等不一而足。
所提取的数据通常会被XORed,之后存储在SD卡上的文件夹.lost+found中,之后通过上传队列通过C&C TLS连接ws.my-local-weather[.]com进行提取。
实现存在问题
虽然功能强大,但Exodus的实现存在问题。它似乎被设计为一款针对想监控软件,但这种针对性功能要么存在问题要么未被使用。另外,某些数据获取例程需要获取root权限。要达到这个目标,mike.jar通过多种守护进程在受支持的应用程序的某些提取例程绑定的TCP端口连接至rootdaemon。这些例程子在所有的网络接口上运行并可供和受影响设备位于同样本地网络中的任何人访问。
拉开意大利监控丑闻序幕?
如果Exodus真的是意大利执法机构通过合同方式签订开发的监控软件,那么Security Without Boarder发布的报告就拉开了意大利丑闻的序幕。媒体Motherboard询问了曾在调查中使用过监控软件的一名意大利警察特工后,该特工表示,“从法律监控角度来看是不理智的行为。使任何人都能访问且存在多个漏洞是疯狂且不理智的,甚至要比非法性更让人担忧。”
很多包括意大利在内的国家都允许执法部分在某些情况下采取特别措施,但通常不包括大规模的监控行为。但Security Without Boarders已证实Exodus中缺乏目标验证,意味着任何安装了该监控软件的用户均可遭监控。
另外,意大利数据处理监管机构发布了2018年关于拦截监管的意见,指出,“在可能的情况下,禁止在可携带式电子设备上安装计算机传感器的安全级别低于该设备的安全级别,在拦截操作过程中及结束后都是如此。”
意大利媒体报道称,监管负责人Antonello Soro强调称虽然目前所知甚少,但仍然表达担忧。他表示将在能力范围内开展必要调查,弄清楚事件的来龙去脉。
谁来保证应用的安全?
虽然隐私问题很重要,但也不应该忽视另外一种令人担心的事实:未通过谷歌过滤器检测的Exodus竟然出现在了谷歌应用商店中。Security Solutions的负责人兼OneSpan公司的安全专家Will LaSala认为,“它再次强调了依靠谷歌或苹果检测恶意应用的想法是不安全的。消费者应当通过各种措施保护应用的安全而不是指望平台供应商增强安全。应用开发人员和部署应用的公司需要把安全性掌握在自己的手中,以确保用户得到保护。”
本文由360代码卫士翻译自SecurityWeek
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。