freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

谨防新型跟踪恶意软件:Monitor Minor
2020-03-18 09:10:33

Monitor Minor,一个由卡巴斯基实验室的专家发现的新的跟踪软件,可以跟踪Gmail,WhatsApp,Instagram和Facebook的用户活动。

如果说,一般的跟踪软件能够收集受害者当前的地理位置,拦截短信和通话数据,有时还能做到地理围栏功能,Monitor Minor也是如此,但不同的是,它比其家族的所有现有软件功能更为强大。

Monitor Minor的强大之处就在于它还能监视其他通信渠道(如即时消息传递应用程序)。

该跟踪软件的作者利用了SuperUser类型的应用程序(SU实用程序)具备的对系统root访问权限,从社交网络和即时消息程序中提取消息历史记录。如果无法获得所需的访问权限,软件会利用窗口截图、记录屏幕点击等方式来获取信息。

在“干净的”Android操作系统中,沙箱阻止了应用程序之间的直接通信,因此跟踪软件无法简单地打开并获取WhatsApp的访问权限。这种访问模型称为DAC(自由访问控制)。但是,如果安装了SuperUser类型的应用程序(SU实用程序),情况就会发生变化,结果变成授予对系统的root访问权限。可以说,MonitorMinor的作者是基于SU实用程序来做的。

通过运行SU实用程序提权后,该恶意软件就可以完全访问这些应用程序中的数据:

LINE:免费电话和短信

Gmail邮箱

Zalo:视频通话

Instagram

Facebook

Kik

Hangouts

Viber

Hike News & Content

Skype

Snapchat

JusTalk

BOTIM

此外,Monitor Monor能从设备中提取文件/数据等的密钥,其中包含屏幕解锁模式的哈希值或密码。让其使用者能够用它来解锁设备。

恶意软件实施的持久性机制非常有效,并利用了root访问权限。 跟踪软件将系统分区从只读重新安装到读/写模式,然后将自身复制到该分区,从用户分区中删除自己,然后将其重新安装回只读模式。受害者将无法使用常规OS工具删除该软件。又因为Monitor Minor利用Accessibility Services API来拦截受控应用程序中的事件,即使没有root访问权限,它也可以使用此API在所有设备上有效运行。

该恶意软件还实现了键盘记录器,通过此API,允许使用者监视剪贴板并转发内容。

此外,还有使用SMS命令控制设备、查看设备摄像头中的实时视频、记录设备麦克风的声音、在Chrome中查看浏览历史记录、查看某些应用的使用情况统计信息、查看设备内部存储的内容、查看联系人列表、查看系统日志等诸多功能。

据了解,Monitor Minor大多安装在印度(14.71%),其次是墨西哥(11.76%),德国、沙特阿拉伯和英国(5.88%),并且疑似为印度开发人员制作的的。

*参考来源:securityaffairs,kirazhou编译整理,转载请注明来自 FreeBuf.COM。

# 卡巴斯基 # 跟踪软件 # Monitor Minor
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者