认识Monokle,一个能够窃取和更改密码的Android恶意软件系列
特殊技术中心(STC)是一家总部位于俄罗斯圣彼得堡的软件开发公司,美国政府对此并不满意。 2016年,巴拉克•奥巴马(Barack Obama)对STC实施制裁,因为他的政府认为这是帮助俄罗斯政府干预美国2016年总统选举的三家公司之一。相信很多才华横溢,技术精湛的专家为STC工作,安全公司Lookout的研究人员似乎相信,同样的专家负责创建一个名为Monokle的以前未记录的Android恶意软件。
Table of Contents
Monokle和STC连接
正如我们将在一分钟内发现的那样,Monokle是一款非常复杂且功能多样的移动监控软件,因为这些恶意应用程序通常由知道自己正在做什么的人开发,通常会将其归因于特定的黑客群体。几乎是不可能的。然而,Lookout的专家认为,有很多证据表明Monokle与STC有关。
根据Lookout的技术报告 ,STC的业务是开发一套针对Android设备的防御产品,据称这些产品专门出售给俄罗斯政府机构。该公司还有一个名为App Control的控制面板应用程序,通过该应用程序管理STC的其余服务。当Lookout的专家通过它时,他们看到App Control正试图弄清楚Monokle是否安装在设备上。
除此之外,STC最知名的产品之一是一款名为Defender的Android防病毒应用程序。在仔细研究了Monokle的命令和控制(C&C)基础设施后,Lookout的团队意识到其中一些与Defender使用的后端服务器重叠。最重要的是,STC的安全产品和Monokle之间也共享了证书。
如果Lookout的研究人员是对的,并且Monokle确实是由STC创建的,那么开发人员并没有花费太多精力来隐藏他们的痕迹,考虑到恶意软件的复杂程度,这很奇怪。
Monokle的多功能性是其定义特征
除其他外,Monokle可以记录击键,删除和下载文件,发送消息,泄露联系人,设备信息,电子邮件,登录数据,已安装应用程序列表以及呼叫和浏览历史记录。它还可以拍摄照片,视频和屏幕截图,如果它具有root访问权限,则可以执行命令。
所有这些都是此类恶意软件的标准配置。不过,Monokle确实还有其他一些技巧可以让它从人群中脱颖而出。它使用Android的辅助功能来捕获和泄露来自Microsoft Office和Google Docs文件以及Whatsapp,Viber,Snapchat等即时消息应用程序的信息。即使设备仍处于锁定状态,它也可以进行屏幕录制,这意味着它可以捕获用于解锁设备的密码,PIN码或模式。一旦它捕获了秘密,它就可以改变它并锁定人们的手机或平板电脑。
但是,最高级的功能可能是在受感染设备上安装可信证书. 多亏了它,可以对TLS流量进行中间人攻击。
总而言之,Monokle不是您想要在Android设备上拥有的东西。好消息是,大多数人不太可能遇到它。
Monokle针对特定目标
最早的Lookout样本可以追溯到2015年,但Monokle至今仍被用于攻击。与大多数Android恶意软件系列一样,主要感染媒介以第三方应用商店中分发的木马化应用程序的形式出现。他们中的大多数冒充真实的应用程序,有些甚至带有合法的功能,这可能使检测更加困难。
根据恶意应用程序的标题和图标,专家们得出结论,Monokle用于针对特定用户群的高度针对性攻击。其中一些申请显然是为了引起叙利亚Ahrar al-Sham激进组织相关人员的注意。其他人针对的是位于前苏联加盟共和国乌兹别克斯坦的用户,第三组针对位于东欧高加索地区的人。
如果Lookout的专家说的是真的,Monokle最有可能被俄罗斯政府机构用来试图监视特定的个人。如果某些特定列表中没有您的姓名,您可能不会受到Monokle的影响。显然,这并不意味着应该低估恶意软件。