Android 上的一个侦查的恶意软件 Chrysaor

发布于 2025-01-14 10:57:12 字数 6952 浏览 3 评论 0

Google 不断致力于改进我们的系统，保护用户免受潜在有害应用（PHAs）的影响。通常，PHA 作者试图将尽可能多的设备安装有害应用程序。然而，一些 PHA 作者花费大量的精力，时间和金钱在一个或少量的设备上创建和安装其有害的应用程序。这被称为有针对性的攻击。

在这篇博文中，我们描述了 Chrysaor，一个新发现家族的间谍软件，用于对少量 Android 设备进行有针对性的攻击，以及这样的调查如何帮助 Google 保护 Android 用户免受各种威胁。

什么是 Chrysaor？

Chrysaor 是由 NSO Group Technologies 创建的可信任间谍软件，专门从事针对性攻击的软件和基础设施的创建和销售。Chrysaor 被认为是与 Pegasus 间谍软件相关的，首次是在 iOS 上识别，由 Citizen Lab 和 Lookout 分析。

去年年底，从 Lookout 收到可疑包名单后，我们发现有几十个 Android 设备可能已经安装了与 Pegasus 相关的应用程序，我们将其命名为 Chrysaor。虽然 Google Play 中的应用程式从不可用，但我们立即通过使用验证应用程式来确定问题的范围。我们从受影响的设备收集信息，同时，尝试获取 Chrysaor 应用程序，以更好地了解其对用户的影响。我们联系了潜在受影响的用户，禁用受影响设备上的应用程序，并在验证应用程序中实施了更改以保护所有用户。

Chrysaor 的范围是甚么？

Chrysaor 从未在 Google Play 上架，而且在 Google Play 之外的安装量很少。在由 Verify Apps 保护的超过 14 亿台设备中，我们在受害设备上观察到少于 3 打安装的 Chrysaor。这些设备位于以下国家/地区：

我们如何保护你

为了保护 Android 设备和用户，Google Play 提供了一套完整的安全服务，可在平台版本之外更新。用户不必安装任何额外的安全服务来保护设备的安全。在 2016 年，这些服务保护了超过 14 亿台设备，使 Google 成为世界上最大的设备安全服务提供商之一：

使用人员，云中的系统和从设备发送给我们的数据识别 PHA
警告用户关于或阻止用户安装 PHA
持续扫描 PHA 和其他有害威胁的设备

此外，我们正在提供详细的技术信息，以帮助安全行业反对 PHA 的集体工作。

我需要做什么？

你或你认识的人极不可能受到 Chrysaor 恶意软件的影响。通过我们的调查，我们确定了受 Chrysaor 影响的不到 3 打的设备，我们在这些设备上禁用了 Chrysaor，并通知了所有已知受影响设备的用户。此外，我们为我们的安全服务的所有用户启用了对我们的保护措施的改进。

为确保你完全受到 PHA 和其他威胁的保护，我们建议以下 5 个基本步骤：

仅从信誉来源安装应用程序：从信誉良好的来源（如 Google Play ）安装应用程序。Google Play 上没有 Chrysaor 应用。
启用安全锁定屏幕：选择一个 PIN，模式或密码，方便你记住，难以让别人猜测。
更新设备：使你的设备与最新的安全修补程序保持同步。
验证应用程序：确保验证应用程序已启用。
查找你的设备：使用 Android 设备管理器来查找你的设备，因为比安装 PHA 更有可能丢失设备。

Chrysaor 如何工作？

要安装 Chrysaor，我们相信攻击者哄骗专门针对的个人将恶意软件下载到设备上。一旦安装了 Chrysaor，远程操作员就可以监控受害者在设备上和附近的活动，利用麦克风，相机，数据收集，以及在诸如手机和短信等通信应用程序上记录和跟踪应用程序活动。

我们分析的一个代表性样本 Chrysaor 应用程序是针对运行 Jellybean（4.3）或更早版本的设备量身定制的。以下是 com.network.android 针对三星设备目标定制的 Chrysaor 应用程序的范围和影响的回顾，其中包括 SHA256 摘要：

ade8bef0ac29fa363fc9afd958af0074478aef650adeb0318517b48bd996d5d5

安装后，应用程序会使用已知的故障破坏程序来升级权限，并破坏 Android 的应用程序沙箱。如果目标设备不容易受到这些攻击，应用程序会尝试使用预定位的超级用户二进制/system/csk 来提升权限。

特权升级后，应用程序立即保护自己并开始收集数据，方法如下：

在分区上安装自己， /system 以便在恢复厂设置时持续
删除三星的系统更新应用程序（com.sec.android.fotaclient）和禁用自动更新以维持持久性（设置 Settings.System.SOFTWARE_UPDATE_AUTO_UPDATE 为 0）
删除 WAP 推送消息和更改 WAP 消息设置，可能用于反强制目的。
启动内容观察者和主任务循环以接收远程命令和 exfiltrate 数据

该应用程序使用六种技术来收集用户数据：

重复的命令：使用告警来定期重复设备上的操作以公开数据，包括收集位置数据。
数据收集器：将设备上的所有现有内容转储成队列。数据收集器与重复的命令一起使用，用于收集用户数据，包括短信设置，短信，呼叫记录，浏览器历史记录，日历，联系人，电子邮件和所选消息应用程序的消息，包括 WhatsApp，Twitter，Facebook，Kakoa，Viber ，和 Skype 通过制作/data/data 目录的应用程序世界可读。
内容观察员：使用 Android 的 ContentObserver 框架收集 SMS，日历，联系人，单元格信息，电子邮件，WhatsApp，Facebook，Twitter，Kakao，Viber 和 Skype 中的更改。
截图：通过原始帧缓冲区捕获当前屏幕的图像。
键盘记录：记录输入事件挂钩 IPCThreadState::Transact 的 /system/lib/libbinder.so，和用 com.android.internal.view.IInputContext 拦截 android::parcel。
RoomTap：静音地接听电话并在后台保持连接，允许来电者听到手机麦克风范围内的对话。如果用户解锁他们的设备，那么在应用程序删除呼叫时，他们会看到一个黑屏，重置呼叫设置，并准备用户正常与设备进行交互。

最后，应用程序可以通过三种方式来删除自己：

通过服务器的命令
如果设备在 60 天后无法登录服务器，则自动删除
通过解毒剂文件。如果/sdcard/MemosForNotes 设备上存在，Chrysaor 应用程序会将其自身从设备中删除。

样本上传到 VirusTotal

为了鼓励在安全社区进一步研究，我们将这些示例 Chrysaor 应用程序上传到 Virus Total。

包名称	SHA256 摘要	SHA1 证书
com.network.android	ade8bef0ac29fa363fc9afd958af0074478aef650adeb0318517b48bd996d5d5	44f6d1caa257799e57f0ecaf4e2e216178f4cb3d
com.network.android	3474625e63d0893fc8f83034e835472d95195254e1e4bdf99153b7c74eb44d86	516f8f516cc0fd8db53785a48c0a86554f75c3ba

附加消息与链接到 Chrysaor

由于我们的调查结果，我们已经确定了这些额外的 Chrysaor 相关应用程序。

包名称	SHA256 摘要	SHA1 证书
com.network.android	98ca5f94638768e7b58889bb5df4584bf5b6af56b188da48c10a02648791b30c	516f8f516cc0fd8db53785a48c0a86554f75c3ba
com.network.android	5353212b70aa096d918e4eb6b49eb5ad8f59d9bec02d089e88802c01e707c3a1	44f6d1caa257799e57f0ecaf4e2e216178f4cb3d
com.binary.sms.receiver	9fae5d148b89001555132c896879652fe1ca633d35271db34622248e048c78ae	7771af1ad3a3d9c0b4d9b55260bb47c2692722cf
com.android.copy	e384694d3d17cd88ec3a66c740c6398e07b8ee401320ca61e26bdf96c20485b4	7771af1ad3a3d9c0b4d9b55260bb47c2692722cf
com.android.copy	12e085ab85db887438655feebd249127d813e31df766f8c7b009f9519916e389	7771af1ad3a3d9c0b4d9b55260bb47c2692722cf
com.android.copy	6348104f8ef22eba5ac8ee737b192887629de987badbb1642e347d0dd01420f8	31a8633c2cd67ae965524d0b2192e9f14d04d016