窃密手法多元的Android间谍软件，冒充系统更新程式流传

安全厂商发现一只有多种恶意手法的间谍软件，冒充Android系统更新程式诱骗用户下载。

Zimperium的扫描引擎侦测到一只远端存取木马（Remote Access Trojan，RAT），出现在非官方（即非Google Play Store）的线上软件商店，伪装成系统更新（System Update）程式诱使Android用户下载。它在受害装置上可执行多种行为，包括窃取讯息、图片及各种资料，也能控制Android装置。

研究人员指出，这只尚未命名的RAT程式，除了结合Firebase及专门的C&C服务器外，还拥有少见的多种窃密手法。一旦安装到用户装置，即利用受害装置的WhatsApp线上/离线状态、电池电量、储存统计，或由Firebase通讯服务接到的令牌(token)及连线型态等资料，向Firebase C&C服务器注册。但是第一时间它能刻意不显示于系统选单，以隐藏行踪。

在受害装置上，这只间谍软件会在多种情形下触发窃密和资料外泄行为，像是利用Android的contentObserver和Broadcast receiver新增联络人、接到新的简讯、安装新App等。Firebase通讯服务是用以接获指令而启动搜集行为，像是麦克风录音、或是外泄简讯内容。其他目标资讯包括手机联络人、通话纪录、搜寻特定副档名（包括.PDF、docx、.xls、.xlsx）的档案或剪贴簿资料、装置资讯（如应用程序清单、装置名称）。

所有装置上搜寻到想要的资料，不论是对话内容、联络人或电话纪录后，会立即以加密的ZIP档案上传到C&C服务器。它还会挑选特定日期之前的资料不送，以免资料太旧。而为了不留下踪迹，这只间谍软件会在接到C&C服务器回应“行动成功”后，立即删除档案。

此外，一旦它取得Android控制权，又能进行进一步窃密。像是录音、拍照、滥用装置的辅助服务（Accessibility Services），透过侦测屏幕内容以搜集WhatsApp的交谈、讯息内容及数据库档案（如果具根权限）、偷看Google Chrome、Mozilla Firefox或Samsung Internet Browser书签和搜寻纪录、监控GPS定位，连储存在外部储存装置及快取中的资料都不放过。

除了窃密外，这只间谍程式也能执行任务排程，并请求手机核准忽略电池最佳化以免任务中断。（如下图所示）

Zimperium研究人员认为，从窃密手法多样性及躲避侦测的技巧来看，这只间谍软件能力可谓罕见。该公司也公布了入侵指标（Indication of Compromise）及C&C服务器网址，以供安全人员侦测。