近日，趨勢科技宣稱他們在一個釣魚網站上發現了一個偽裝成聊天APP的新型間諜軟體家族，並認為這些惡意APP很有可能是在為一場大規模活動而做的準備。

但在之後的幾個月裡，釣魚網站一直處於關閉狀態。直到今年10月份，釣魚網站再次上線，但可下載的APP已經更換為了“Apex”。

分析表明，Apex和Chatrious同屬一個間諜軟體家族，都能夠竊取使用者的個人資訊。目前，趨勢科技已將該間諜軟體家族標識為“AndroidOS_CallerSpy.HRX”。

圖1. Chatrious（左）和Apex（右）

如上所述，CallerSpy被描述為聊天APP，但分析表明它根本不具備聊天功能。

一旦執行，它就會通過Socket.IO啟動與C&C伺服器的連線，以監聽來自C&C伺服器的命令。

然後，它會利用Evernote Android-Job開始排程計劃任務以竊取資訊。

CallerSpy會設定多個計劃任務，以收集受感染裝置上的通話記錄、簡訊、聯絡人列表和檔案。此外，它還能夠進行螢幕截圖，並將截圖上傳到C＆C伺服器。

所有的被盜資訊都將被儲存在本地資料庫中，然後定期上傳到C＆C伺服器。

CallerSpy的目標檔案型別如下：

當CallerSpy接收到來自C＆C伺服器的命令後，它便會進行螢幕截圖。隨後，它將對截圖進行Base64編碼，並通過預先配置的Socket.IO連線上傳到C&C伺服器。

為了誘騙使用者下載APP，攻擊者使用了類似Google的山寨域名——Gooogle。

Whois查詢顯示，這個域名是於2019年2月11日在Namecheap註冊的，但是有關注冊人的資訊全都無法追溯。

圖7. gooogle[.]press的註冊資訊

雖然趨勢科技設法捕獲到了四個C＆C伺服器IP地址，但卻發現他們都託管在合法服務上，唯一能確定的只有C＆C服務在埠3000上使用Node.js。

趨勢科技，他們到目前為止還沒有發現實際的CallerSpy感染者，但同時也提出了一個可能，即CallerSpy目前仍處於測試階段，攻擊者很可能是在為一場大規模活動而做準備。

首先，CallerSpy目前還沒有使用者介面（UI），也沒有其所描述的聊天功能。

其次，它目前使用的仍是預設的應用程式圖示，甚至被標記為“rat”，而且還存留了一些除錯程式碼。

圖8. CallerSpy的圖示和名稱（左），除錯程式碼（右）

再次，樣本認證資訊也表明，它目前僅用於測試。

最後，釣魚網站頁面上有三個按鈕，分別是“APPLE STORE”、“GOOGLE PLAY”和“WINDOWS STORE”，說明CallerSpy至少適用於Apple、Android和Windows這三個平臺。

但實際情況是，它目前僅支援Android。