最近在俄罗斯联邦安全局（FSB）查获的手机上发现了一种新的Android间谍软件，这突显了用户隐私和安全持续面临的风险，特别是当设备被当局没收然后归还时。

Kirill Parubets因被指控向乌克兰捐款而被FSB逮捕。在重新获得对移动设备的访问权限后，程序员怀疑设备被俄罗斯政府篡改，因为它表现出异常行为，并显示了一条通知，称“Arm cortex vx3 同步”。在与Citizen Lab共享进行取证分析后，调查人员确认设备上安装了间谍软件，该软件冒充合法且流行的Android应用“Cube Call Recorder”，该应用在Google Play上的下载量超过1000万次。该软件模仿合法应用程序，并已被授予广泛权限，允许其监视和控制感染设备上的几乎所有活动。

Citizen Lab 称，该恶意软件似乎是Monokle的新版本， Monokle最初由Lookout在2019年发现，由总部位于圣彼得堡的特种技术中心有限公司开发。Monokle 间谍软件功能十分完善，曾号称是最强的间谍软件之一。

其核心功能包括：

• 在空闲时跟踪位置
• 访问短信内容、联系人列表和日历条目
• 记录电话通话、屏幕活动和视频（通过摄像头）
• 提取消息、文件和密码
• 执行shell命令和解密数据
• 进行键盘记录以捕获敏感数据和密码
• 访问消息应用中的消息
• 执行shell命令和安装包（APK）
• 提取设备上存储的密码以及设备解锁密码
• 从设备中导出文件

Citizen Lab 进一步指出，该间谍软件通过加密的两阶段过程进行安装，这表明其开发者采用了高级技术来规避检测。其中第二阶段包含大部分间谍软件的功能，还包括加密文件，这些文件的名称看似随机，以增加检测难度。分析人员还报告在间谍软件的代码中发现了对iOS的引用，这表明可能存在一种运行在苹果iPhone设备上的变体。

对于高价值用户而言，可能面临严重的隐私和安全风险，因为该间谍软件可以访问和监视大量敏感信息。此事件凸显了移动设备的危险性，尤其是当它们被当局没收然后归还时，设备在此过程中可能已被破坏。由于Monokle 间谍软件能够提取密码和财务信息等敏感数据，对用户的财务安全和个人隐私构成严重威胁。它还可以用来追踪用户的位置，使他们容易受到身体跟踪或其他形式的骚扰。

Android间谍软件检测tips

检查异常行为：寻找诸如无法解释的速度减慢、崩溃或电池耗电加快等迹象。间谍软件可以在后台运行，消耗资源并导致这些问题。

监控应用权限：警惕请求广泛权限的应用。如果一个应用请求它不需要的权限，例如访问您的麦克风或摄像头，而这与它的功能似乎无关，那么它可能是间谍软件。

检查未知来源：检查设备上是否有未知或可疑的应用。间谍软件经常伪装成合法应用。

审查数据使用情况：寻找数据使用的突然增加，尤其是在您没有积极使用互联网时。间谍软件可以秘密上传您的数据，导致更高的使用量。

检查额外的图标或设置更改：有时，间谍软件可以在您不知情的情况下在设备上创建额外的图标或更改设置。

参考来源：https://www.bleepingcomputer.com/news/security/new-android-spyware-found-on-phone-seized-by-russian-fsb/