圖1.名為“Corona Updates”的虛假冠狀病毒疫情APP

圖2.ProjectSpy服務器登錄頁面

分析表明，該APP具有許多功能：

• 上載GSM、WhatsApp、Telegram、Facebook和Threema消息
• 上載語音便箋、已存儲的聯系人、帳戶、通話記錄、位置信息和圖片
• 上載收集到的設備信息（例如，IMEI、主板、制造商、Android版本、應用程序版本、名稱、型號品牌、用戶、序列號、硬件、引導程序和設備ID等）
• 上載SIM信息（例如，IMSI、運營商代碼、國家/地區(qū)、MCC移動國家/地區(qū)、SIM序列號、營商名稱和手機號碼等）
• 上載wifi信息（例如，SSID、wifi速度和mac地址等）
• 上載其他信息（例如，顯示、日期、時間、指紋、創(chuàng)建時間和更新時間等）

通過濫用通知權限來讀取通知內容并將其保存到數據庫，該APP能夠從多款流行的消息聊天APP中竊取消息。

圖3.攔截通知并將內容保存到數據庫中

圖4.濫用通知權限來讀取通知內容

ProjectSpy的早期版本

基于域名搜索，趨勢科技很快發(fā)現了于2019年5月出現在google Play的另一個ProjectSpy版本。

圖5.2019年5月版本與2020年3月版本包含相同的域名

分析表明，2019年5月版本的ProjectSpy具有如下功能：

• 收集設備和系統(tǒng)信息（即IMEI、設備ID、制造商、型號和電話號碼）、位置信息、已存儲的聯系人和通話記錄
• 收集并發(fā)送短信
• 通過相機拍照
• 上傳錄制的MP4文件
• 監(jiān)聽通話

進一步搜索后，趨勢科技還發(fā)現了另一個偽裝成音樂播放器APP（名為“Wabi Music”）的ProjectSpy版本，其開發(fā)人員名為“concipit1248”。

圖6.偽裝成音樂播放器APP的ProjectSpy及其登錄頁面

分析表明，這個ProjectSpy版本具有與2019年5月版本相似的功能，但進行了如下修改：

• 增加了從WhatsApp、Facebook和Telegram竊取消息的功能
• 刪除了以FTP模式上傳圖片的功能

據說，除功能和外觀上的差異外，這兩個版本的ProjectSpy的代碼幾乎一模一樣。

iOS版本的ProjectSpy

基于代碼和“Concipit1248”的搜索，趨勢科技還在App Store中找到了另外兩個ProjectSpy應用程序。

圖7.App Store中的兩個ProjectSpy應用程序，開發(fā)人員名為“Concipit Shop”

在iOS應用程序的代碼中，趨勢科技找到了與ProjectSpy Android版本代碼中相同的服務器地址。

圖8.iOS應用程序的代碼顯示了相同的服務器地址

分析表明，這兩款iOS應用程序的間諜功能尚不完善，這可能意味著它們還處于開發(fā)階段。

結語

借助社會熱點來傳播惡意軟件是網絡黑客常用的手段，這也是為什么ProjectSpy在近期會被偽裝成冠狀病毒疫情APP的主要原因。

盡管功能尚不完善，但ProjectSpy的出現還是再一次給我們提了一個醒——一是，在下載某款APP之前，一定要仔細查看其下方的評論，尤其是差評；二是，在安裝的時候，一定要留意它所請求的權限，即使它來自官方應用商店。