多功能惡意軟體RedDrop來襲竊取隱私、偷竊錢財都不是事兒

最新 03-01

「用指尖改變世界」

一款名為RedDrop的新型Android惡意軟體可以執行多種惡意操作，包括錄製附近的音頻並將數據上傳到攻擊者的Dropbox和Google Drive雲存儲帳戶中，以為進一步的攻擊或者勒索做準備。

這款惡意軟體最初是由英國移動安全公司Wandera的研究團隊發現的，他們在幾家全球諮詢公司的員工所使用的手機中發現了至少有53款感染了RedDrop的惡意應用程序正在泄露這些Android智能手機用戶的敏感數據。

儘管RedDrop所擁有的一系列令人印象深刻的入侵功能，可以讓我們將其歸類為間諜軟體。但事實證明，網路間諜活動只是RedDrop的一部分，並且它主要被用於利用受感染設備向增值服務號碼發送簡訊，從而使其開發人員獲利。

惡意軟體主要在中國地區活躍

研究表明，RedDrop的受害者主要集中在中國。由於中國沒有官方的Google Play商店，因此Android智能手機用戶通常會依靠搜索引擎來查找應用程序，而這正是RedDrop的主要分發途徑。

研究人員解釋說，RedDrop的開發人員首先將其惡意廣告引入到搜索引擎中，當用戶使用百度進行搜索時可能就會遇到這些「陷阱」。當用戶點擊這些惡意廣告時，將會被重定向到多個域名，直到他們登錄到第三方應用商店。

研究人員表示，RedDrop的開發人員利用了超過4000個域的內容分發網路(CDN)來傳播用於分發RedDrop的惡意應用程序。這樣做的主要目的，很可能是為了混淆惡意軟體的來源，使安全團隊難以發現威脅的來源。

惡意軟體可執行多種惡意操作

通過對RedDrop驅動器的靜態和動態分析，Wandera的研究團隊發現了一種機制，其中7個附加安裝包(APK)將從C&C伺服器靜默安裝到受感染設備上，這為RedDrop提供了多個附加功能。

首先，RedDrop應用程序在解壓時會釋放惡意嵌入文件，然後編譯這些文件以啟動惡意功能。這些文件位於下面展示的應用程序資產文件夾中：

在安裝完成後，RedDrop會立即從不同的C&C伺服器下載其他組件(APK和JAR文件)，並將其動態存儲到受感染設備的內存中。這種技術允許攻擊者悄悄地執行額外的惡意APK，而不必將它們直接嵌入到初始程序中。

有意思的是，RedDrop的間諜功能主要被用於監視用戶是否在受感染設備周圍，以便啟動其他惡意功能。另外，RedDrop會竊取許多關鍵數據並存儲到各種伺服器和雲存儲服務中。這些數據可能包括：本地保存的的文件(如聯繫人、照片、屏幕截圖等)、設備周圍的現場錄像、設備相關信息(如IMEI、IMSI等)、SIM相關信息(如MNC、MCC等)、應用數據以及附近的WiFi網路等。

惡意應用CuteActress用於偷取「錢財」

正如文章最開始提到的那樣，Wandera的研究團隊至少發現了53款惡意應用被用於分發RedDrop的有效載荷，而CuteActress就是其中之一。

從表面上看，CuteActress是一款以成人內容為主題的遊戲應用，就如刮獎遊戲一樣，用戶必須摩擦屏幕才能看清圖片中女性的穿著。