圖1.名為“Corona Updates”的虛假冠狀病毒疫情APP

圖2.ProjectSpy服務(wù)器登錄頁(yè)面

分析表明，該APP具有許多功能：

• 上載GSM、WhatsApp、Telegram、Facebook和Threema消息
• 上載語(yǔ)音便箋、已存儲(chǔ)的聯(lián)系人、帳戶、通話記錄、位置信息和圖片
• 上載收集到的設(shè)備信息（例如，IMEI、主板、制造商、Android版本、應(yīng)用程序版本、名稱、型號(hào)品牌、用戶、序列號(hào)、硬件、引導(dǎo)程序和設(shè)備ID等）
• 上載SIM信息（例如，IMSI、運(yùn)營(yíng)商代碼、國(guó)家/地區(qū)、MCC移動(dòng)國(guó)家/地區(qū)、SIM序列號(hào)、營(yíng)商名稱和手機(jī)號(hào)碼等）
• 上載wifi信息（例如，SSID、wifi速度和mac地址等）
• 上載其他信息（例如，顯示、日期、時(shí)間、指紋、創(chuàng)建時(shí)間和更新時(shí)間等）

通過(guò)濫用通知權(quán)限來(lái)讀取通知內(nèi)容并將其保存到數(shù)據(jù)庫(kù)，該APP能夠從多款流行的消息聊天APP中竊取消息。

圖3.攔截通知并將內(nèi)容保存到數(shù)據(jù)庫(kù)中

圖4.濫用通知權(quán)限來(lái)讀取通知內(nèi)容

ProjectSpy的早期版本

基于域名搜索，趨勢(shì)科技很快發(fā)現(xiàn)了于2019年5月出現(xiàn)在google Play的另一個(gè)ProjectSpy版本。

圖5.2019年5月版本與2020年3月版本包含相同的域名

分析表明，2019年5月版本的ProjectSpy具有如下功能：

• 收集設(shè)備和系統(tǒng)信息（即IMEI、設(shè)備ID、制造商、型號(hào)和電話號(hào)碼）、位置信息、已存儲(chǔ)的聯(lián)系人和通話記錄
• 收集并發(fā)送短信
• 通過(guò)相機(jī)拍照
• 上傳錄制的MP4文件
• 監(jiān)聽通話

進(jìn)一步搜索后，趨勢(shì)科技還發(fā)現(xiàn)了另一個(gè)偽裝成音樂(lè)播放器APP（名為“Wabi Music”）的ProjectSpy版本，其開發(fā)人員名為“concipit1248”。

圖6.偽裝成音樂(lè)播放器APP的ProjectSpy及其登錄頁(yè)面

分析表明，這個(gè)ProjectSpy版本具有與2019年5月版本相似的功能，但進(jìn)行了如下修改：

• 增加了從WhatsApp、Facebook和Telegram竊取消息的功能
• 刪除了以FTP模式上傳圖片的功能

據(jù)說(shuō)，除功能和外觀上的差異外，這兩個(gè)版本的ProjectSpy的代碼幾乎一模一樣。

iOS版本的ProjectSpy

基于代碼和“Concipit1248”的搜索，趨勢(shì)科技還在App Store中找到了另外兩個(gè)ProjectSpy應(yīng)用程序。

圖7.App Store中的兩個(gè)ProjectSpy應(yīng)用程序，開發(fā)人員名為“Concipit Shop”

在iOS應(yīng)用程序的代碼中，趨勢(shì)科技找到了與ProjectSpy Android版本代碼中相同的服務(wù)器地址。

圖8.iOS應(yīng)用程序的代碼顯示了相同的服務(wù)器地址

分析表明，這兩款iOS應(yīng)用程序的間諜功能尚不完善，這可能意味著它們還處于開發(fā)階段。

結(jié)語(yǔ)

借助社會(huì)熱點(diǎn)來(lái)傳播惡意軟件是網(wǎng)絡(luò)黑客常用的手段，這也是為什么ProjectSpy在近期會(huì)被偽裝成冠狀病毒疫情APP的主要原因。

盡管功能尚不完善，但ProjectSpy的出現(xiàn)還是再一次給我們提了一個(gè)醒——一是，在下載某款A(yù)PP之前，一定要仔細(xì)查看其下方的評(píng)論，尤其是差評(píng)；二是，在安裝的時(shí)候，一定要留意它所請(qǐng)求的權(quán)限，即使它來(lái)自官方應(yīng)用商店。