追蹤、定位、監聽一個也不能少：最強悍的監控間諜軟體FlexiSPY源碼泄露

4月22日，黑客FlexiDie公布了大量來自監控軟體廠商FlexiSPY的文件，泄露的文件包括源碼和一些內部文檔。

這家監控公司其實是一家總部位於泰國（一說位於香港）的小公司，官網顯示其主要的目標客戶包括希望監控員工的老闆、想要監控孩子手機的父母，還有想要監控伴侶的夫妻，第三類客戶顯然是最多的。《福布斯》今年2月曾對這類監控軟體進行過報道，報道指出，在2015年婦女援助組織對693名婦女的調查中，有29％的受訪者表示，他們的手機或電腦上曾被伴侶或者前任安裝間諜軟體或GPS定位器。

但FlexiSPY的客戶可不止官網上宣傳的這些。此次遭泄密的文件還顯示，旗下的監控軟體還出售給了土耳其、沙烏地阿拉伯和巴林政府。

FlexiSPY還與其他監控軟體廠商存在一定的聯繫，FlexiSPY軟體可能還被用在了另一款由Gamma公司開發的軟體中，這家公司是英德監控公司。

根據泄露的文檔， FlexiSPY的工作人員曾協助Gamma工作人員安裝軟體「Cyclops」，這款軟體被用在Gamma自己的監控程序FinSpy上。

Gamma在2012年將FinSpy賣給巴林政府。2015年，有證據顯示包括埃及，沙烏地阿拉伯，土庫曼和委內瑞拉在內的國家政府使用這些監控軟體。維基解密SpyFiles系列聲稱，FinSpy被用來監視「記者，活動家和政治異議人士」。

2014年，一名黑客入侵了Gamma International內網，公開了40GB的內部文檔和惡意程序源代碼（BT種子），曾經轟動一時。

監控能力

官網的信息顯示，FlexiSPY能夠監控的範圍包括「所有電腦&Mac用戶的活動」，設備涵蓋「安卓、蘋果, iPad, PC 和 Mac」。不過小編詢問客服後了解到，FlexiSPY支持的windows系統包括Windows 7、Windows 8, 8.1和Windows 10。並且對Windows Mobile尚無支持。

FlexiSPY能夠監控的內容包括：

PC端：

監控信息 & 鍵盤錄入

Webmail

Webmail 截圖

鍵盤記錄

Skype

LINE

QQ

Yahoo Messenger

Hangouts

Trillian

Viber

AIM

iMessage

微信

監控互聯網 & 應用程序

已經瀏覽過的網頁

瀏覽器歷史記錄

瀏覽器視頻

應用程序使用

已安裝的應用程序

監控網路 & 列印情況

監控網路連接

監控印表機使用情況

監控文檔活動和用戶

文檔活動信息

文件傳輸

U盤連接

桌面屏幕截圖

監控用戶登錄/登出

什麼時間鎖屏

遠程監控

遠程卸載軟體

遠程註銷軟體

遠程更改軟體功能

秘密監控

在開始菜單里隱藏軟體

從系統托盤中隱藏軟體

從任務管理器中隱藏軟體

顯示/隱藏軟體圖標

阻止軟體被卸載

通過安全密鑰組合訪問

移動端：

Facebook, LINE, Viber,微信, Skype, iMessage, 簡訊, BBM, WhatsApp, KIK

通話記錄、通訊簿、便簽、日曆；

照片、視頻、音樂、壁紙；

應用程序、書籤、網頁歷史記錄、位置。

監聽和記錄通話內容；

控制麥克風和攝像頭；

惡搞工具。

但值得一提的事，安裝FlexiSPY必須有操作那些設備的物理許可權，軟體不能遠程安裝。

泄露軟體分析

IOC

下面的這些URL和字元串都是給反病毒廠商做分析的，用於識別設備有沒有被感染。

URL

http://58.137.119.229/RainbowCore/(發現在com.vvt.phoenix.prot.test.CSMTest中)

「http://trkps.com/m.php?lat=%f&long=%f&t=%s&i=%s&z=5」 (發現在source//location_capture/tests/location_capture_tests/src/com/vvt/locationcapture/tests/Location_capture_testsActivity.java:)

有一個IP地址在代碼中被備註了

//private String mUrl = 「http://202.176.88.55:8880/

字元串

以下字元串存在

於/source/phoenix/test/phoenix_demo/src/demo/vvt/phoenix/PhoenixDemoActivity.java中：

「/sdcard/pdemo/」;

「http://58.137.119.229/RainbowCore/「;

「http://192.168.2.116/RainbowCore/「;

「gateway/unstructured」;

/sdcard/data/data/com.vvt.im」

軟體概覽

以下的分析是通過逆向兩款Android應用和通過檢查泄密的源代碼獲得的。源碼的版本是1.00.1，而Android應用的版本號是2.24.3和2.25.1。版本號非常重要，因為1.00.1版本只能夠監控一款即時通訊軟體，而2.24.3能夠監控的軟體多達十幾款。

應用會針對設備root與否進行區別對待。如果設備被root，軟體就會進行一系列操作確保能夠駐足系統。還不確定軟體是否有能力對未root的設備進行root操作。

監控軟體支持的指令包括：錄音，視頻錄製，電話錄音（包括呼入呼出）、擦除數據，簡訊攔截，簡訊關鍵詞監控，監控攝像頭照片，通訊錄，日曆信息，地理位置跟蹤，Gmail應用消息，除此之外，軟體還有一系列插件用來監控特定的即時通訊軟體。不過針對其他軟體如whatsapp, snapchat可能需要在root的設備上完成。

應用程序監控

軟體中的模塊可以提取各種應用程序的敏感信息。 一般來說，這些應用程序數據是受到保護的，但是如果手機被root，間諜軟體就可以獲取任何應用程序的敏感信息。

WhatsApp

Snapchat

Snapchat監控插件代碼

財務狀況

Motherboard獲得的一份2016年的文件稱，FlexiSPY的每月收入為40萬美元。據說公司創始人Atir Raihan生活奢侈，花了大部分時間來度假和聚會。

名為「離岸(offshore)」的泄露ppt顯示，該公司與MossackFonseca公司（巴拿馬文件背後的公司）一樣都註冊於塞席爾。

而一份泄漏的表格則顯示有22個國家的40多家公司曾經聯繫過這家公司。文件中列舉的國家包括以色列，印度，中國，俄羅斯和美國，但不清楚這些公司是否購買了FlexiSPY。

遭遇文件泄漏後，FlexiSPY的用戶登錄門戶已經下線，但是周六有人報道稱它已經重新上線。

泄露文件地址：https://github.com/Te-k/flexidie

Mega網盤：

FlexiSpyOmni源碼https://mega.nz/#!AmZEjbrb!nehl_WgZAkkh9fuh_RSV8-KncLxW70eP83tEWsnq2EE

FlexiSpyOmni Binaries(flexidie)https://mega.nz/#!hmRwCJwT!aKoKEvF29z3j4uGaSxZuBkqfdeY5ARVa-ghuYmMRhkU

FlexSpy 軟體分析http://www.cybermerchantsofdeath.com/blog/2017/04/23/FlexiSpy.html

文章出處：Freebuf

夥伴們

錯過也許就是一輩子

還不快關注我們？

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！