Monitor Minor,一个由卡巴斯基实验室的专家发现的新的跟踪软件,可以跟踪Gmail,WhatsApp,Instagram和Facebook的用户活动。
如果说,一般的跟踪软件能够收集受害者当前的地理位置,拦截短信和通话数据,有时还能做到地理围栏功能,Monitor Minor也是如此,但不同的是,它比其家族的所有现有软件功能更为强大。
Monitor Minor的强大之处就在于它还能监视其他通信渠道(如即时消息传递应用程序)。
该跟踪软件的作者利用了SuperUser类型的应用程序(SU实用程序)具备的对系统root访问权限,从社交网络和即时消息程序中提取消息历史记录。如果无法获得所需的访问权限,软件会利用窗口截图、记录屏幕点击等方式来获取信息。
在“干净的”Android操作系统中,沙箱阻止了应用程序之间的直接通信,因此跟踪软件无法简单地打开并获取WhatsApp的访问权限。这种访问模型称为DAC(自由访问控制)。但是,如果安装了SuperUser类型的应用程序(SU实用程序),情况就会发生变化,结果变成授予对系统的root访问权限。可以说,MonitorMinor的作者是基于SU实用程序来做的。
通过运行SU实用程序提权后,该恶意软件就可以完全访问这些应用程序中的数据:
LINE:免费电话和短信
Gmail邮箱
Zalo:视频通话
Kik
Hangouts
Viber
Hike News & Content
Skype
Snapchat
JusTalk
BOTIM
此外,Monitor Monor能从设备中提取文件/数据等的密钥,其中包含屏幕解锁模式的哈希值或密码。让其使用者能够用它来解锁设备。
恶意软件实施的持久性机制非常有效,并利用了root访问权限。 跟踪软件将系统分区从只读重新安装到读/写模式,然后将自身复制到该分区,从用户分区中删除自己,然后将其重新安装回只读模式。受害者将无法使用常规OS工具删除该软件。又因为Monitor Minor利用Accessibility Services API来拦截受控应用程序中的事件,即使没有root访问权限,它也可以使用此API在所有设备上有效运行。
该恶意软件还实现了键盘记录器,通过此API,允许使用者监视剪贴板并转发内容。
此外,还有使用SMS命令控制设备、查看设备摄像头中的实时视频、记录设备麦克风的声音、在Chrome中查看浏览历史记录、查看某些应用的使用情况统计信息、查看设备内部存储的内容、查看联系人列表、查看系统日志等诸多功能。
据了解,Monitor Minor大多安装在印度(14.71%),其次是墨西哥(11.76%),德国、沙特阿拉伯和英国(5.88%),并且疑似为印度开发人员制作的的。
*参考来源:securityaffairs,kirazhou编译整理,转载请注明来自 FreeBuf.COM。