移动APP背后的秘密：间谍APP大阅兵

じ、夙愿ら

移动APP背后的秘密：间谍APP大阅兵

随着移动互联网技术的飞速发展，移动智能系统的逐步成熟，搭载着智能系统的手机、平板大量涌现，于是智能系统的重要组成部分App应用火了。无论您使用的是手机还是平板电脑，或者其他设备，面对如此海量的App，在安装和使用这些形形色色的App时是否想到过这样的事情，一些App背后偷偷地在窃取着您的个人敏感隐私！

下面我们就来看看它们背后都做了哪些不可告人的秘密。

一、窃取，无处不在1.1 盗取金融账号信息

2013是互联网金融开始爆发的一年，针对这块”肥肉”恶意应用自然不甘寂寞。

当点击招商银行登陆界面时，会跳转到SocketDemo这个activity。

file:///d:/program files/360se6/User Data/Temp/76001402975282.png

应用进入到SocketDemo这个activity，用户输入账户、手机号和密码，点击send按钮，便会向”1891128940″号码发送以上信息，从而盗取用户账号及密码。

同时也发现有伪装成支付宝，工商银行，建设银行，交通银行等登录界面，几乎可以假乱真，实则后台获取账号密码等敏感信息并通过短信发送。

以获取支付宝密码为例，分别获取支付宝账号，密码及支付密码并以#号连接，之后base64加密再短信形式发送。

不仅仅是国内，国外的银行盗号也很严重。

其中 Santander是一个西班牙银行的名称，Clave de firma是西班牙语，翻译后为：签名密钥。这个样本的主要行为就是：

伪装成银行的在线口令生成器，诱骗用户在Clave de firma下的控件内输入自己的银行密码，并随机生成虚假的口令（mToken）显示给用户。这时用户的银行密码通过短信和网络的形式被泄露，并且在之后配合样本，截取到银行发送给用户的手机验证码，攻击者可以在用户完全不知情的情况下窃取用户的银行财富。

1.2 盗取聊天应用消息记录

“听风者”现实中的监听，该应用运行界面及网站功能说明，此软件还有一个登录后台可查看聊天记录

国外间谍应用的功能更是有过之而无不及。

其中左图为该程序运行后的界面，右图为后台查看的一些社交或聊天应用的消息。

如获取whatsapp消息记录

加强安全意识，增加安全防范，不要让无形的”听风者”让你成为某某门的主角哦。

1.3 盗取更多隐私

获取短信记录，如敏感的支付宝或银行相关信息

‍

‍‍‍‍‍

获取通话录音、SMS信息、定位信息、环境录音

获取手机通话记录

获取SD卡文件列表。

获取联系人信息

没有想不到，只有做不到，一旦中招，就没有隐私可言了。知己知彼，接下来我们总结下这些间谍件的常用行为流程及功能，不要让自己成为”肉鸡”。

二、控制方式2.1 短信指令控制

家族：MguSpy.a

说明：该程序运行后进行短信监听，接收远程短信指令控制。

2.2 网络指令控制

家族：Lien.d

说明：连接恶意远程服务器，接收服务器指令控制

2.3 google云推送

家族：Tramp.a

说明：其实该控制方式也属于网络的一种，只有不是直接由恶意远程服务器控制，而由google云服务器进行指令发送，具有一定隐蔽性。

注册google GCM监听广播

根据指令执行相关操作。

三、隐私回传方式3.1 短信方式回传

家族：Lurker.a

说明：短信回传操作简单，实用(只要手机还有话费即可)。一般个人开发的程序采用此种方式，当然也有程序通过短信发送回执信息，如指令招行成功与否。

发送短信记录

发送通话记录

3.2 网络方式回传

家族：VladoSpy.a

说明：一般通过网络回传的间谍件，都有一个功能强大的后台管理系统，进行统一查看或管理。该类间谍件一般功能强大，大都是要收费的。

获取设备信息

短信记录

3.3 邮箱方式回传

家族：Dd1d.e

说明：通过邮箱发送用户相关信息或程序安装状态等。

通过163邮箱进行发送

已发送邮件

四、常见功能

典型功能：短信记录，通话记录，联系人等。

4.1 获取短信记录

访问短信常见协议

4.2 获取通话记录

常用uri: CallLog.Calls.CONTENT_URI;

4.3 获取联系人信息

获取联系人uri: android.provider.ContactsContract.CommonDataKinds.Phone.CONTENT_URI, android.provider.Contacts.People.CONTENT_URI

4.4 通话录音

常见的有通话或环境录音

4.5 拍照

拍摄照片

五、借我一双慧眼–识别间谍应用5.1 无图标或隐藏图标

无activity，安装无图标，仅有广播和服务。

首次安装有图标，但下次运行会隐藏图标的。

一般通过setComponentEnabledSetting API进行隐藏图标。

5.2 激活设备管理器

AM注册有激设备管理器，而又无图标或隐藏图标的。

5.3 短信监听

会监听短信，有拦截行为，同时会对短信内容进行判断的，如*,#开头的，等不同于一般用户发短信习惯的。

5.4 大量可疑权限

短信，联系人，定位等大量可疑权限，同时包名又比较可疑的。

一般来说同时拥有以下三种或以上权限很可疑。

5.5 邮件发送

有邮件发送代码同时有大量可疑权限及服务。

5.6 包名伪装系统服务

包名和程序名伪装系统服务或应用。

5.7 大量字串比较

字串比较一般用于指令的匹配。

如：startsWith

如：equals

5.8 字串表关键字

直接搜索字串表，看到很多敏感关键字的。

中文：指令，开启录音，通话，上传

英文：uploadgps,uploadrecord

其实明显指令提示信息。

5.9 通话监听

监听拨打电话并对号码进行判断的，所拨打号码一般包含*,#等，不是用户常规拨打号码。

5.10 服务过多，activity较少。

5.11 查看包结构

间谍件一般目地性较强，组织结构较清晰，若包名中包含：call,contact,gps,record,server,task等较为可疑。

六、小结

间谍类程序功能强大，一旦中招，个人将再无隐私可言，危害极大。同时还具有隐蔽性强(安装无图标，仅启动服务)，不易清除(激活设备管理器，防卸载)等特点。针对此类间谍应用，安天安全专家建议，养成安全意识，从知名站点下载应用，未运行此软件用户可直接清除。

同时可以下载AVL移动安全团队AVL Pro对恶意应用进行查杀。