一旦用户安装后,该应用就会隐藏并隐秘地将受害者设备中的数据发送到的自己控制的服务器。
发现该恶意应用的移动安全公司Zimperium的研究人员表示,一旦受害者安装了该恶意应用,该恶意软件就会与运营商的Firebase服务器进行通信,用于远程控制设备。
该恶意软窃取了广泛的数据,包括:
窃取即时通讯工具的信息
窃取即时通讯工具的数据库文件(如果有root权限)
检查默认浏览器的书签和搜索
检查谷歌浏览器,火狐浏览器和三星浏览器的书签和搜索历史
搜索特定扩展名的文件(包括.pdf、.doc、.docx和.xls、.xlsx)
检查剪贴板数据
检查通知的内容
录制音频
录制电话
定期拍照(通过前置或后置摄像头)
列出已安装的应用程序
窃取图像和视频
监视GPS位置
窃取短信
窃取手机联系人
窃取通话记录
窃取设备信息(如安装的应用程序、设备名称、存储统计)
与其他旨在窃取数据的恶意软件不同,这个恶意软件只有在满足一些条件时才会利用Android的contentObserver和Broadcast接收器得到触发,比如增加了新的联系人、新的短信或安装了新的应用。
该间谍软件还通过隐藏菜单中的图标来隐藏其在受感染的Android设备上的存在。
为了进一步逃避检测,它只会窃取发现的视频和图片的缩略图,从而减少受害者的流量消耗,避免引起他们对后台数据外流活动的注意。
与其他批量收获数据的恶意软件不同,这款恶意软件还会确保只外流最近的数据,收集最近几分钟内创建的位置数据和拍摄的照片。
Zimperium首席执行官Shridhar Mittal表示,该恶意软件很可能是定向攻击的一部分。
诱骗别人安装恶意应用是一种简单且有效的方法,可以危害受害者的设备。这就是为什么安卓设备会警告用户不要安装应用商店以外的应用。