大東話安全之「兵」——Sadstrot

編者按：網路空間安全近年來日漸成為公眾關注的焦點，中科院之聲特意邀請業內專家「大東」開設「大東話安全」專欄，為大家介紹網路空間安全的方方面面。

一、讖曰

某手機狂熱用戶：sad，這些個app又更新了

大東：sad歸sad，別讓你自己的手機跟著你sad然後strot了。

二、病毒通緝令

小白：誒，這個小機器人挺面熟，在哪兒見過呢？嗯……噢！我想起來了！好像是安卓標誌的小綠人！它怎麼把自己腦袋給割下來了……

大東：眼神兒不錯，平時沒少玩手機昂。

小白：嘿嘿，過獎過獎，那今天的內容肯定和安卓手機有關吧~

大東：今天講的Sadstrot家族是安卓平台上首個利用substrate hook框架監控鍵盤輸入信息的惡意木馬，運行後會竊取用戶QQ和微信賬戶、好友列表、消息記錄等。

小白：哇，我小時候可崇拜會盜QQ號的人了~偶像啊~~

大東：瞧瞧你，盜了號之後呢？

小白：之後……之後……呃，就很厲害啊……好吧，大東東你贏了，你繼續說。

三、大話始末

大東：話說第一個吃螃蟹的人，魯迅老爺子曾稱讚：「第一個吃螃蟹的人是很令人佩服的，不是勇士誰敢去吃它呢？」你說，螃蟹這種生物形狀可怕，醜陋兇橫，第一個吃螃蟹的人是有多想不開。

小白：蓋不住它好吃，要是我做了第一個吃螃蟹的人，那我豈不是可以名留青史了？

大東：你就不怕螃蟹有毒啊？

小白：根據歷史的發展，我們這不吃上螃蟹了嘛，這螃蟹可沒毒，還賊好吃~

大東：那你第一次吃你就知道它沒毒吶。

小白：……我竟無言以對！哎，今天大東東怎麼突然說到螃蟹了啊？

大東：今天我要說的這個木馬，那可是木馬界第一匹吃螃蟹的馬，這匹馬運行後會竊取用戶QQ與微信賬戶、好友列表、消息記錄等。

小白：聽起來好像也沒有什麼特別的啊，這不是木馬的日常么。

小白：嗯…不明覺厲……

大東：簡單地說，就是Sadstrot有特別的盜號技巧，不管是，銀行賬戶身份證號還是社交網路賬號，只要你走鍵盤輸入的一個都跑不了。同時，這隻木馬還會接收雲端指令，執行模塊更新、刪除指定文件等遠程控制操作。總而言之呢，就是它會嚴重影響你手機系統的安全。

小白：天惹嚕，不就是個QQ號碼，怎麼就扯上銀行卡了！

大東：這個木馬在運行了以後，會立即申請root許可權，一旦它獲取了設備的root許可權，那你的手機就是廢魚一條，只能任之煎炸。之後，木馬會悄咪咪地安裝一個底層大佬substrate，神不知鬼不覺地展開監聽活動（創建detect進程），偷偷使用模塊插件與手機主要活動勾結（與主進程通信），參看重要代碼（通過回調代碼使用hook等方式）來竊取用戶的數據。在substrate框架安裝完成了以後，該木馬便會調用Substrate框架提供的作案工具（api），對輸入法操作中的字元輸入、結束輸入、隱藏鍵盤等方法進行hook，並將收集到的字元發送回監聽活動（detect進程）。總之呢，此款木馬的特點是運行過程高度模塊化，各文件之間會相互通信、相互配合，並最終實現隱私竊取和遠控後門的功能。

對了，Sadstrot收集到你的QQ和WebChat賬號信息，很可能被用來向好友發送詐騙信息噢。

申請root許可權，運行cInstall可執行文件

小白：啊，那有沒有什麼辦法預防呢？

大東：這個嘛，你在使用手機的時候確保自己的App僅從官方站點或可信任的應用市場下載，不隨意下載插件，那麼被病毒感染的概率就小啦。

小白：那我怎麼知道自己的手機被感染了呢。

大東：等你哪天打開網頁，可能會在哪個很不起眼的角落看到自己的個人信息，嗯，沒錯，這時候你就可以確定你的手機被感染了。

小白：啊不行不行，我得趕緊刪了我的那些聊天記錄，萬一我這手機被感染了，那我的這些隱私不都得泄露出去。

大東：等等先別急，話說你有啥見不得人的東西啊。

小白：那我可不管。

四、小白內心說

大東：驚了，居然就這麼就把手機里的東西都刪了。

小白：東哥，我這叫防範於未然。

大東：是么？為啥我感覺你正在走上一條不歸路。

小白：東哥你是說我會後悔么，後悔？不存在的。（內心os：怎麼會不後悔啊，我珍貴的聊天記錄qwq）

大東：行，你開心就好。

小白：開心是不會開心的，這一周都不會開心了，畢竟碰上了這麼一個病毒。

大東：其實…

小白：好的東哥你不要安慰我了，畢竟是這樣一個會泄露個人隱私的木馬啊，在這大數據時代，誰知道不法分子拿到了你的個人信息後會利用這些信息做什麼，我覺得被發幾個小廣告都算輕的，所以東哥你不要說了。

大東：其實手機上的大部分殺毒軟體已經可以查殺這個木馬了，所以你刪掉這些聊天記錄啊什麼的是沒必要的。

小白：？？？

小白：東哥你切開來是黑的么？

大東：問題是我還沒來得及勸你呢，你就自顧自把聊天記錄都刪了啊！

五、話說漫威

小白：我的手機……

大東：行啦，以後注意咯。咱們說點兒輕鬆的話題~

小白：啥話題？

大東：這個毀你手機的Sadstrot你看像漫威里的誰？

小白：誰？

大東：行騙為生的斯科特·朗，在偷了生化學家漢克·皮姆博士發明的蟻人戰服後，擁有了自由收縮身體大小的超能力。

小白：蟻人？

大東：雖然蟻人之前以行騙為生，但是心中的正義感和使命感卻沒有丟失，為了守護蟻人技術之謎，他義無反顧地和皮姆博士一起策劃並執行了一場驚天騙局來拯救世界維護和平。而現實中的Sadstrot家族卻是一個「惡貫滿盈」的卑劣小偷，它是安卓平台上首個利用substrate hook框架監控鍵盤輸入信息的惡意木馬，運行後會竊取用戶QQ和微信賬戶、好友列表，消息記錄等，給社會造成了巨大的損失，成為了社會不安的毒瘤。

小白：就是！壞透了！還我記錄來！

蟻人

來源：中國科學院計算技術研究所

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！