近日，網路安全公司趨勢科技發現了一場目前正處於籌備階段的網路間諜活動，攻擊者試圖使用一種名為“ProjectSpy”的間諜軟體感染瞄準了Android和iOS裝置（趨勢科技分別將其檢測為AndroidOS_ProjectSpy.HRX和IOS_ProjectSpy.A）。

發現過程

根據趨勢科技的說法，他們是在上個月底偶然發現了一個偽裝成冠狀病毒疫情APP的ProjectSpy樣本（命名來源於APP的後端伺服器登入頁面）。

圖1.名為“Corona Updates”的虛假冠狀病毒疫情APP

圖2.ProjectSpy伺服器登入頁面

分析表明，該APP具有許多功能：

上載GSM、WhatsApp、Telegram、Facebook和Threema訊息上載語音便箋、已儲存的聯絡人、帳戶、通話記錄、位置資訊和圖片上載收集到的裝置資訊（例如，IMEI、主機板、製造商、Android版本、應用程式版本、名稱、型號品牌、使用者、序列號、硬體、載入程式和裝置ID等）上載SIM資訊（例如，IMSI、運營商程式碼、國家/地區、MCC移動國家/地區、SIM序列號、營商名稱和手機號碼等）上載wifi資訊（例如，SSID、wifi速度和MAC地址等）上載其他資訊（例如，顯示、日期、時間、指紋、建立時間和更新時間等）

通過濫用通知許可權來讀取通知內容並將其儲存到資料庫，該APP能夠從多款流行的訊息聊天APP中竊取訊息。

圖3.攔截通知並將內容儲存到資料庫中

圖4.濫用通知許可權來讀取通知內容

ProjectSpy的早期版本

基於域名搜尋，趨勢科技很快發現了於2019年5月出現在Google Play的另一個ProjectSpy版本。

分析表明，2019年5月版本的ProjectSpy具有如下功能：

收集裝置和系統資訊（即IMEI、裝置ID、製造商、型號和電話號碼）、位置資訊、已儲存的聯絡人和通話記錄收集併發送簡訊通過相機拍照上傳錄製的MP4檔案監聽通話

進一步搜尋後，趨勢科技還發現了另一個偽裝成音樂播放器APP（名為“Wabi Music”）的ProjectSpy版本，其開發人員名為“concipit1248”。

分析表明，這個ProjectSpy版本具有與2019年5月版本相似的功能，但進行了如下修改：

增加了從WhatsApp、Facebook和Telegram竊取訊息的功能刪除了以FTP模式上傳圖片的功能

據說，除功能和外觀上的差異外，這兩個版本的ProjectSpy的程式碼幾乎一模一樣。

iOS版本的ProjectSpy

基於程式碼和“Concipit1248”的搜尋，趨勢科技還在App Store中找到了另外兩個ProjectSpy應用程式。

圖7.App Store中的兩個ProjectSpy應用程式，開發人員名為“Concipit Shop”

在iOS應用程式的程式碼中，趨勢科技找到了與ProjectSpy Android版本程式碼中相同的伺服器地址。

圖8.iOS應用程式的程式碼顯示了相同的伺服器地址

分析表明，這兩款iOS應用程式的間諜功能尚不完善，這可能意味著它們還處於開發階段。

結語

藉助社會熱點來傳播惡意軟體是網路黑客常用的手段，這也是為什麼ProjectSpy在近期會被偽裝成冠狀病毒疫情APP的主要原因。

儘管功能尚不完善，但ProjectSpy的出現還是再一次給我們提了一個醒——一是，在下載某款APP之前，一定要仔細檢視其下方的評論，尤其是差評；二是，在安裝的時候，一定要留意它所請求的許可權，即使它來自官方應用商店。