認識Monokle,一個能夠竊取和更改密碼的Android惡意軟件系列

Monokle Android malware

特殊技術中心(STC)是一家總部位於俄羅斯聖彼得堡的軟件開發公司,美國政府對此並不滿意。 2016年,巴拉克•奧巴馬(Barack Obama)對STC實施制裁,因為他的政府認為這是幫助俄羅斯政府乾預美國2016年總統選舉的三家公司之一。相信很多才華橫溢,技術精湛的專家為STC工作,安全公司Lookout的研究人員似乎相信,同樣的專家負責創建一個名為Monokle的以前未記錄的Android惡意軟件。

Monokle和STC連接

正如我們將在一分鐘內發現的那樣,Monokle是一款非常複雜且功能多樣的移動監控軟件,因為這些惡意應用程序通常由知道自己正在做什麼的人開發,通常會將其歸因於特定的黑客群體。幾乎是不可能的。然而,Lookout的專家認為,有很多證據表明Monokle與STC有關。

根據Lookout的技術報告 ,STC的業務是開發一套針對Android設備的防禦產品,據稱這些產品專門出售給俄羅斯政府機構。該公司還有一個名為App Control的控制面板應用程序,通過該應用程序管理STC的其餘服務。當Lookout的專家通過它時,他們看到App Control正試圖弄清楚Monokle是否安裝在設備上。

除此之外,STC最知名的產品之一是一款名為Defender的Android防病毒應用程序。在仔細研究了Monokle的命令和控制(C&C)基礎設施後,Lookout的團隊意識到其中一些與Defender使用的後端服務器重疊。最重要的是,STC的安全產品和Monokle之間也共享了證書。

如果Lookout的研究人員是對的,並且Monokle確實是由STC創建的,那麼開發人員並沒有花費太多精力來隱藏他們的痕跡,考慮到惡意軟件的複雜程度,這很奇怪。

Monokle的多功能性是其定義特徵

除其他外,Monokle可以記錄擊鍵,刪除和下載文件,發送消息,洩露聯繫人,設備信息,電子郵件,登錄數據,已安裝應用程序列表以及呼叫和瀏覽歷史記錄。它還可以拍攝照片,視頻和屏幕截圖,如果它具有root訪問權限,則可以執行命令。

所有這些都是此類惡意軟件的標準配置。不過,Monokle確實還有其他一些技巧可以讓它從人群中脫穎而出。它使用Android的輔助功能來捕獲和洩露來自Microsoft Office和Google Docs文件以及Whatsapp,Viber,Snapchat等即時消息應用程序的信息。即使設備仍處於鎖定狀態,它也可以進行屏幕錄製,這意味著它可以捕獲用於解鎖設備的密碼,PIN碼或模式。一旦它捕獲了秘密,它就可以改變它並鎖定人們的手機或平板電腦。

但是,最高級的功能可能是在受感染設備上安裝可信證書. 多虧了它,可以對TLS流量進行中間人攻擊。

總而言之,Monokle不是您想要在Android設備上擁有的東西。好消息是,大多數人不太可能遇到它。

Monokle針對特定目標

最早的Lookout樣本可以追溯到2015年,但Monokle至今仍被用於攻擊。與大多數Android惡意軟件系列一樣,主要感染媒介以第三方應用商店中分發的木馬化應用程序的形式出現。他們中的大多數冒充真實的應用程序,有些甚至帶有合法的功能,這可能使檢測更加困難。

根據惡意應用程序的標題和圖標,專家們得出結論,Monokle用於針對特定用戶群的高度針對性攻擊。其中一些申請顯然是為了引起敘利亞Ahrar al-Sham激進組織相關人員的注意。其他人針對的是位於前蘇聯加盟共和國烏茲別克斯坦的用戶,第三組針對位於東歐高加索地區的人。

如果Lookout的專家說的是真的,Monokle最有可能被俄羅斯政府機構用來試圖監視特定的個人。如果某些特定列表中沒有您的姓名,您可能不會受到Monokle的影響。顯然,這並不意味著應該低估惡意軟件。

August 23, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
8 + 7是什麼?