认识Monokle，一个能够窃取和更改密码的Android恶意软件系列

特殊技术中心（STC）是一家总部位于俄罗斯圣彼得堡的软件开发公司，美国政府对此并不满意。 2016年，巴拉克•奥巴马（Barack Obama）对STC实施制裁，因为他的政府认为这是帮助俄罗斯政府干预美国2016年总统选举的三家公司之一。相信很多才华横溢，技术精湛的专家为STC工作，安全公司Lookout的研究人员似乎相信，同样的专家负责创建一个名为Monokle的以前未记录的Android恶意软件。

Table of Contents

Monokle和STC连接

正如我们将在一分钟内发现的那样，Monokle是一款非常复杂且功能多样的移动监控软件，因为这些恶意应用程序通常由知道自己正在做什么的人开发，通常会将其归因于特定的黑客群体。几乎是不可能的。然而，Lookout的专家认为，有很多证据表明Monokle与STC有关。

根据Lookout的技术报告，STC的业务是开发一套针对Android设备的防御产品，据称这些产品专门出售给俄罗斯政府机构。该公司还有一个名为App Control的控制面板应用程序，通过该应用程序管理STC的其余服务。当Lookout的专家通过它时，他们看到App Control正试图弄清楚Monokle是否安装在设备上。

除此之外，STC最知名的产品之一是一款名为Defender的Android防病毒应用程序。在仔细研究了Monokle的命令和控制（C＆C）基础设施后，Lookout的团队意识到其中一些与Defender使用的后端服务器重叠。最重要的是，STC的安全产品和Monokle之间也共享了证书。

如果Lookout的研究人员是对的，并且Monokle确实是由STC创建的，那么开发人员并没有花费太多精力来隐藏他们的痕迹，考虑到恶意软件的复杂程度，这很奇怪。

Monokle的多功能性是其定义特征

除其他外，Monokle可以记录击键，删除和下载文件，发送消息，泄露联系人，设备信息，电子邮件，登录数据，已安装应用程序列表以及呼叫和浏览历史记录。它还可以拍摄照片，视频和屏幕截图，如果它具有root访问权限，则可以执行命令。

所有这些都是此类恶意软件的标准配置。不过，Monokle确实还有其他一些技巧可以让它从人群中脱颖而出。它使用Android的辅助功能来捕获和泄露来自Microsoft Office和Google Docs文件以及Whatsapp，Viber，Snapchat等即时消息应用程序的信息。即使设备仍处于锁定状态，它也可以进行屏幕录制，这意味着它可以捕获用于解锁设备的密码，PIN码或模式。一旦它捕获了秘密，它就可以改变它并锁定人们的手机或平板电脑。

但是，最高级的功能可能是在受感染设备上安装可信证书. 多亏了它，可以对TLS流量进行中间人攻击。

总而言之，Monokle不是您想要在Android设备上拥有的东西。好消息是，大多数人不太可能遇到它。