單尼克爾。有了這樣的名字,Lookout團隊檢測到的這款超級惡意軟體絕對配得上「莫斯科之眼,21世紀版」的綽號。 Monokle 是由一家位於聖彼得堡的俄羅斯公司開發的尖端監視軟體,該公司名為“特殊技術中心”或“STC”,該公司與俄羅斯國防部門密切合作。
STC 專注於無線電設備和電子產品,也開發軟體,網路安全公司 Lookout 的團隊發現,該公司發布了一份 37 頁的報告。
Monokle 不應被視為另一種大規模惡意軟體:它實際上是一種真正的情報武器,旨在攻擊已識別的個人。
濫用無障礙工具
根據 Lookout 的報告,Monokle 的獨特之處在於即使沒有裝置的 root 存取權限也能提取資訊。根據 Lookout 報導,STC 團隊已經開發出「劫持終端輔助功能以從第三方應用程式中竊取資訊並使用預測字典的極其有效的方法(取自Android鍵盤,編者註)確定目標的利益”。甚至更強大,Monokle 會嘗試“捕獲解鎖時螢幕上發生的情況以恢復 PIN、圖案或密碼”。
邪惡的 Monokle 也非常有效。其功能清單簡直令人眼花撩亂:
- 能夠安裝受損的證書
- 可以使自己在進程管理器清單中不可見
- 檢索日曆資訊
- 恢復明文密碼
- 透過預先定義控制終端透過簡訊接收的關鍵字接收帶外訊息
- 重置用戶 PIN
- 字典恢復
- 以音訊形式錄製環境(高、中或低品質)
- 撥出電話
- 通話錄音
- 刪除文件
- 向攻擊者預先定義的號碼發送簡訊
- 攻擊者預定義檔上傳
- 重新啟動終端
- 與常見的辦公室應用程式互動以檢索文字文檔
- 接受預先定義「控制電話」所發出的命令
- 接觸恢復
- 終端資訊採集(品牌、型號、電池狀態、螢幕開關等)
- 郵件收藏
- 拍攝照片和影片
- 追蹤地理定位
- 截圖
- 從最近的中繼天線檢索訊息
- 列出已安裝的應用程式
- 恢復關聯的帳戶和密碼
- 收集周圍 Wi-Fi 網路的信息
- 截圖
- 自殺功能(應用程式的,編者註)和清除可能有罪的文件
- 瀏覽歷史記錄恢復(和基本的衝浪行為分析)
- 通話記錄恢復
- 從 WhatsApp、Instagram、Skype、VK 等收集帳戶資訊和訊息。
- 如果可以存取 root 模式,則以 root 身分執行 shell 命令
簡而言之:一旦安裝在智慧型手機上,Monokle 幾乎可以做所有事情。
偽裝的藝術
Monokle 作為真實的應用程式存在於受感染的終端上。俄羅斯開發者正在竊取那些繼續像原來一樣運行的應用程式——Google Playstore、ES File Explorer、Evernote 等。甚至還有手電筒啟動應用程式! ——以免引起懷疑。
Monokle 似乎不是一個會自我複製以入侵並摧毀 Android 星系的「病毒」程式。這是一種情報工具,一種情報武器,很可能是俄羅斯情報人員——別問我們如何——以某種方式在目標終端上安裝該程式。
因此,Monokle 與大規模資料收集程序無關,而情況可能如此棱鏡在美國,愛德華·斯諾登譴責的監視計劃。它是一種追蹤目標的工具。
目標:來自敘利亞和高加索地區的伊斯蘭主義者
由於各種交叉引用訊息,Lookout 專家能夠確定莫諾克的一些目標,對於那些對俄羅斯歷史和地緣政治感興趣的人來說,這些目標是完全合乎邏輯的。這些人總體上確實是伊斯蘭主義者,但尤其是聖戰組織自由沙姆伊斯蘭運動的支持者或同情者。該組織在伊斯蘭國旗幟下與支持巴沙爾·阿薩德政權軍隊的俄羅斯軍隊作戰。
其他令莫斯科感興趣的伊斯蘭武裝分子是穆斯林高加索人,尤其是印古什人。這些車臣鄰國——他們的抵抗被紅軍和卡德羅夫總統的鐵拳削弱殆盡——在各種問題上與莫斯科對立,特別是當前共和國的分裂。一般來說,高加索地區長期以來一直是俄羅斯(和蘇聯)所認識的不同政權的眼中釘。
Monokle 顯然還存在灰色地帶,例如它在終端上的安裝方式、受感染終端的數量等。但儘管它表明Android 可能存在重大缺陷,但你的智慧型手機似乎不太可能被感染——除非你嚴重處於莫斯科的十字準線中……啊,根據Lookout 的說法,不要為蘋果終端的所有者感到太驕傲, iOS 版本已經存在或至少正在開發中...
來源 : 瞭望台
