随着Android商业间谍软件的发展演变，我们也开始步入了移动威胁新时代。也就是说，你不再需要借助技能高超的技术专家去入侵别人的移动设备，你所需要的就是通过网络购买操作简单的间谍软件即可，这些软件和可以对网站进行DDOS攻击的工具一样，威力十足。

　　这一变化是移动恶意软件进化过程中至关重要的一步，同时这一变化也将使得主动性移动威胁防御变得尤为重要。

　　背景介绍

　　9月初，安全公司 Skycure 的研究人员通过其自身的“众包情报政策（crowd-sourced intelligence policies）”（运行Skycure手机应用程序充当威胁检测传感器）发现，在其一位客户的企业系统中存在一个伪造的应用程序。该客户是一家全球性的科技公司，其企业内部的所有iOS和Android设备均部署了Skycure的企业移动威胁防御解决方案。研究人员已经在该公司副总裁的 Android 6.0.1 设备上发现了该恶意软件。目前，我们已经获得用户允许，披露一些关于Skycure发现间谍软件应用程序的细节。

　　我们发现了什么？

　　受害者的Android设备被一种名为“Exaspy”的恶意程序感染，Exaspy是一种新型安卓商业间谍软件，允许攻击者访问受害者的众多数据信息，其中包括：

　　聊天信息和邮件：SMS、MMS、Facebook Messenger、谷歌视频群聊、Skype、Gmail、本地电子邮件客户端信息、Vibe以及WhatsApp等等；

　　音频：能够记录在后台或通话过程中获取的音频信息；

　　图片：能够访问你的图片库，还能对你的设备进行秘密截图；

　　历史数据：能够收集联系人列表、日历、浏览器历史记录以及通话记录等等；

　　命令和控制（command and control，CNC）服务器能够执行自身请求，其中包括：

　　监控和传送本地文件，例如图片和视频等；

　　执行shell命令，或者产生一个逆向shell，以允许应用程序使用基本包中不包含的漏洞来运行特权。

　　对于最终用户而言，潜在的危害是极大的，可能会对企业造成附加风险带来更恶化的结果。以下罗列的只是该恶意软件在企业移动设备中运行可能带来的几个后果：

　　收集公司的机密信息，其中可能包含财务信息、知识产权、产品信息以及机密会议的记录等等；

　　勒索企业支付高额赎金，以防止信息遭到泄露；

　　恶意软件是如何运行的？

　　基于Skycure研究实验室对于Exaspy恶意软件的分析，我们对于该恶意软件运行的过程，已经能够识别到一些主要的特征。有趣的是，该恶意软件实际上需要一个最终用户来执行最初的安装步骤，也就是说，对设备进行物理访问，安装环节是必不可少的。以下是该应用程序在第一次运行时进行自我安装的过程：

　　恶意软件请求访问设备管理权；

　　请求（友好地）获取一个许可号码；

　　隐藏自己；

　　请求访问root（如果设备是通过rooting应用程序进行管理）。一旦成功，它就会自行安装成一个系统安装包，此举加剧了卸载的困难性；

　　需要注意的是，尽管root访问请求可能会被SU管理者（如SuperSU权限管理）拒绝，但是一旦启动CNC连接，服务器就会发送一个root 应用完成自我执行的过程。

　　一旦成功安装应用程序，恶意软件就能够在移动设备上通过以下方式运行：

　　该应用程序被命名为“谷歌服务（Google Services）”并将工具包命名为“com.android.protect”；很明显，该恶意软件是伪装成“谷歌服务”——一个流行的Android应用程序API，可以用来丰富他们的应用程序（推送通知、地图等）。

　　该应用程序与如下服务器进行通信：

　　hxxps://api.andr0idservices.com（130.211.9.200，托管在谷歌云中）；

　　从硬编码链接hxxp://www.exaspy.com/a.apk中下载更新程序；

　　该应用程序将自动从发射器中隐藏自己（通过禁用其主要活动组件）；

　　该应用程序将禁用三星的SPCM服务和com.samsung.android.smcore包，所以它可以在没有三星服务查杀的环境中运行；

　　该应用程序还将自行安装成一个系统安装包，以防止用户对其执行删除操作。

　　有何有趣之处？

　　Android和iOS的间谍软件已经存在很长时间了，但是一些备受瞩目的事件似乎在向我们传递一个信号：间谍软件开始针对一些知名人士（包括企业高管等）实施复杂持续的攻击。值得一提的是发现于今年8月的一款名为“Pegasus”的间谍软件，主要被其政府用于阿联酋人权运动中，攻击持异见的民主党官员的手机。

　　目前，传统的反恶意软件产品依然不能很好地检测该类恶意软件，因为传统的方法需要对每个新型恶意软件家族创建一个签名。这个签名可能是可执行文件中的一个字符串、一个链接库或是编译后的代码样本等。但是创建这种签名需要人工对样本进行检测，需要花费很多的时间和人力成本来进行，而且结果还往往是不成功的。这就是为什么传统的反病毒和反恶意程序软件解决方案需要频繁更新的原因所在。

　　其他的方法包括在沙箱（动态分析）中执行应用程序也能够检测出部分此类威胁。正如我们在AppSecEU16（点击查看视频）中展示的一样，当沙箱被检测时恶意应用程序很容易会释放出恶意代码。

　　在这种情况下，Skycure公司众包情报收集的数据就可以察觉出该应用程序存在异常。IT管理人员应该意识到的是，大量的间谍软件攻击者可以轻松地在线购买并运用这种攻击。

　　如何保护自身和最终用户的安全？

　　为了阻止攻击需要对你的设备进行物理访问：

　　设置密码和指纹身份认证；

　　禁用USB调试；

　　确保OEM 解锁功能处于关闭状态；

　　定期检查Android的设备管理员列表并且禁用你不信任的组件；

　　安装Skycure的移动威胁防御解决方案（赤果果的广告植入吗？），保护用户有效防御此类威胁；

　　避免从不受信任的软件商店下载应用程序；

　　不要给不需要的应用程序特殊权限；

　　结论

　　以前移动攻击需要很高的技能水平才能完成，所以很罕见。但是在如今的市场上，任何人都可以轻易地购买到所需的恶意软件，这也使得威胁形势日益严峻。我们上面介绍的Exaspy间谍软件，还只是IT专业人员需要对抗的恶意软件包中的其中一个。而当我们考虑到下面这些统计数据时，我们会发现防御的难度比我们想象的更艰巨：

　　根据IBM统计，数据泄露的平均成本为400万美元；

　　Skycure移动安全季度报告显示，27%的用户正在运行一个过时的手机操作系统；

　　同样来自Skycure的报告显示：在对移动设备进行监视时发现，45%的移动设备在监视前4个月内将会遭遇一次网络攻击；

　　当你将这些数据和威胁（如Exaspy）结合起来看，很明显，IT专业人士必须为如今的移动市场做点什么了！因为只要在一个用户的设备上安装恶意软件就能将整个企业置于危险之中。

　　相关技术细节

　　以下列举部分技术细节，希望可以帮助IT专业人员检测自身企业中是否含有此类应用程序：

　　已知的哈希（hashes）：

　　c4826138e07636af1eeb6008e580704575ec1bc7；

　　4bf89c3bf4fb88ad6456fe5642868272e4e2f364；

　　9725c1bf9483ff41f226f22bd331387c187e9179；

　　c4826138e07636af1eeb6008e580704575ec1bc7；

　　f1fbebc2beafe0467ee00e69b3f75719cdbbd693

　　软件包名称：

　　com.android.protect

　　公钥信息：

　　Subject: /O=Exaspy/OU=Exaspy/CN=Exaspy

　　Fingerprint: c5c82ecf20af94e0f2a19078b790d8434ccedb59