返回新闻列表

卡巴斯基实验室发现新型安卓与iOS手机恶意软件,并制作黑客团伙指令与控制服务器的全球分布图

        卡巴斯基实验室于今日发布一项最新的研究报告,披露了一个控制RCS(远程控制系统)恶意软件植入体的大规模国际架构,并发现了针对安卓和iOS手机的新型恶意木马。这些组件属于所谓“合法”间谍工具RCS(又称Galileo)的一部分,由意大利公司HackingTeam(黑客团队)开发。

        这项新研究由卡巴斯基实验室与Citizen Lab联合开展。研究表明,受害者名单包括激进分子、人权倡导者、记者与政治家。

远程控制系统的架构

        为了在全球范围内定位Galileo的指令与控制(C&C)服务器,卡巴斯基实验室研究出不同的安全方案。在判定过程中,卡巴斯基实验室专家们使用特殊的指示器,并通过逆向分析现有样本获取连接数据。

        在近期的分析过程中,卡巴斯基实验室的研究员已在40多个国家发现了逾320个远程控制系统的C&C服务器。其中,多数服务器位于美国、哈萨克斯坦、厄瓜多尔、英国和加拿大。

        对于这些最新发现,卡巴斯基实验室首席安全研究员Sergey Golovanov表示:“这些服务器出现在某一国家,并不代表其为该国执法机构所用。然而,对于RCS用户而言,在控制区域内部署C&C服务器合情合理。而在这些地方,鲜有跨国法律问题或服务器被占用的情况发生。”

远程控制系统手机植入体

        尽管HackingTeam针对iOS和安卓系统的手机木马此前一直为人所知,但是没有人真正发现过它们,或留意到它们已被用于网络攻击。最近几年,卡巴斯基实验室专家一直致力于研究RCS恶意软件。今年年初,他们发现了手机组件的恶意样本,其配置特征与专家们收集的另一RCS恶意软件相匹配。在近期的研究过程中,卡巴斯基实验室还通过基于云的卡巴斯基安全网络接收到了新的恶意样本变种。此外,公司专家与来自Citizen Lab的Morgan Marquis-Boire(他对HackingTeam的恶意软件有着广泛的研究)紧密合作。

        感染方式:Galileo RCS的运营者为每个攻击目标创建了特定的恶意植入体。一旦这些样本准备完成,攻击者就会将其发送至受害者的移动设备。一些知名的感染方式包括通过社交工程学进行鱼叉式网络钓鱼攻击(通常与漏洞利用程序一道使用,包括零日漏洞)以及在移动设备同步过程中使用USB数据线造成本地感染。

        此次研究的一大主要发现是准确了解了Galileo手机木马如何感染iPhone:为达到这一目的,需将手机越狱。然而,未越狱的iPhone也同样易受攻击。因为攻击者可以在一台已受感染的计算机上运行越狱工具(如EvasiOn),进行远程越狱,并感染设备。为了避免被感染的风险,卡巴斯基实验室的专家建议:首先,请不要将iPhone越狱;其次,保持设备上的iOS系统更新至最新版本。

        定制的间谍功能:RCS手机组件设计精细,运行隐秘。举例而言,它会密切留意移动设备的电池寿命。这一特点可以通过周密地定制间谍功能或特殊的触发器而实现。例如,音频录制只有在受害者与特定Wi-Fi网络(如一个媒体机构的网络)连接,抑或SIM卡被更换或设备正在充电时才能被启用。

        总而言之,RCS手机木马能够执行多种不同类型的监视功能,包括报告目标所在地、拍照、复制日历中的事项、在受感染设备中注册新的SIM卡、拦截电话和消息。这些消息不仅限于短信,还包括特定应用发送的消息,如Viber、WhatsApp和Skype。

        检测:卡巴斯基实验室的产品已检测出RCS/DaVinci/Galileo间谍软件工具,他们分别是Backdoor.Win32.Korablin、Backdoor.Win64.Korablin, Backdoor.Multi.Korablin、Rootkit.Win32.Korablin、Rootkit.Win64.Korablin、Rootkit.OSX.Morcut、Trojan.OSX.Morcut、Trojan.Multi.Korablin、Trojan.Win32.Agent、Trojan-Dropper.Win32.Korablin、Trojan-PSW.Win32.Agent、Trojan-Spy.AndroidOS.Mekir与Backdoor.AndroidOS.Criag。