據說 Monokle 由俄羅斯國防承包商開發，旨在幫助該國情報機構干預 2016 美總統大選。

作者/來源： 安華金和

研究人員發現了一些有史以來最先進、功能最全面的移動監視軟體。自 2016 年 3 月以來，這種被稱作 Monokle 的 Android 應用程序就已經被發現。據說 Monokle 由俄羅斯國防承包商開發，旨在幫助該國情報機構干預 2016 美總統大選。安全研究機構 Lookout 發布的一份報告稱，Monokle 使用了幾種新式手段，包括修改 Android 可信證書存儲區，可通過互聯網 TCP 埠、電子郵件、簡訊或電話通信下達指令和控制網路。

Monokle 將自己偽裝為正常應用圖標（題圖 via ARSTechnica）

更令人意想不到的是，Monokle 提供了離線監控功能，即便在互聯網連接不可用的情況下，該軟體也能夠正常工作。下面是 Lookout 披露的 Monokle 的完整功能：

• 檢索日曆信息，包括事件名稱、時間、地點等描述；
• 針對 HTTPS 流量和其它受 TLS 保護的通信的中間人攻擊；
• 收集 WhatsApp、Instagram、VK、Skype、imo 的帳戶信息和檢索消息；
• 通過簡訊或指定的控制電話發送關鍵字（控制短語）和接收外帶消息；
• 將簡訊發送給攻擊者指定的號碼；
• 重置用戶密碼；
• 錄製環境音頻（並可制定高 / 中 / 低音質）；
• 撥打電話；
• 通話錄音；
• 檢索流行辦公應用的文檔文本；
• 拍攝照片、視頻和截圖；
• 記錄包括手機解鎖 PIN 碼在內的密碼；
• 檢索加密鹽，以幫助獲取存儲在設備上的 PIN 碼等密碼；
• 接受來自一組指定電話號碼的命令；
• 檢索聯繫人、電子郵件、通話記錄、瀏覽歷史記錄、帳戶和相應的密碼；
• 獲取包括品牌、型號、功率級別、Wi-Fi 或移動數據連接、屏幕開啟或關閉等在內的設備信息；
• 若設備已開啟 root 許可權，Monokle 可以 root 身份執行任意 shell 命令；
• 追蹤設備位置；
• 獲取附近蜂窩基站信息；
• 獲取已安裝應用列表；
• 獲取附近 Wi-Fi 詳情；
• 刪除任意文件；
• 下載攻擊者指定的文件；
• 重啟設備；
• ● 卸載自身並刪除受感染手機中的所有痕迹。

基於對某些 Monokle 樣本的分析，Lookout 研究人員猜測還有針對蘋果 iOS 設備開發的 Monokle 版本。

開發者可能無意中將某些 iOS 控制代碼添加到了 Android 示例中，可針對密鑰字元串、iCloud 連接、Apple Watch 加速度計數據、iOS 許可權、以及其它 iOS 功能或服務。

之所以將這類惡意軟體稱作 Monikle，是因為它包含了所謂的 monokle-agent 組件。儘管目前 Lookout 研究人員尚未發現任何 iOS 樣本，但其認為它們可能正在開發過程中。

Lookout 研究人員認為 Monokle 與聖彼得堡的 STC 公司有特殊的聯繫，時任美國總統奧巴馬曾對這家俄羅斯國防承包商施加過制裁，理由是其涉嫌干預 2016 美總統大選。

有線索表明，Monokle 與 STC 的控制伺服器有連接，且後者的加密證書被用於該惡意軟體的樣本簽名。此外，Monokle 的複雜性表明，其背後或有政府力量在提供暗中支持。

Lookout 還舉了 PegASUS 這個例子，這款由以色列開發的針對 iOS 和 Android 設備的強大間諜應用程序，曾於 2016 年被用於對抗阿聯酋的不同政見者、並於今年被再次用於英國律師。

Lookout 安全情報高級經理 Christopher Hebeisen 在接受 ArsTechnica 採訪時稱，我們又一次見到了有國防承包商來生產一種用於監視移動設備用戶的高度複雜的惡意軟體。

Lookout 指出，這樣的行為，會對移動設備造成極高的被攻擊風險。不過研究人員也發現，Monokle 被偽裝成了極少數的應用程序，表明該監視工具是專門為攻擊有限數量的特定人群而開發的。

根據 App 的名稱和圖標，Lookout 列出了 Monokle 潛在攻擊目標的一些特徵 —— 某教信眾、居住在東歐高加索和附近地區、對一款名叫 UzbekChat 的消息應用程序感興趣。

其表示，大多數應用程序都被打包進了合法的功能，以防止用戶對這款惡意軟體產生懷疑。

來源：cnBeta.COM

更多資訊

VirtualBox 6.0.10 發布：支持 Ubuntu 和 Debian 的 UEFI 安全啟動驅動簽名甲骨文剛剛為旗下 VirtualBox 虛擬機軟體推出了 6.0 系列的第五個維護版本，它就是修復了各種問題、為 Linux 用戶添加了一些令人激動的增強功能的 VirtualBox 6.0.10 。距離上一次維護版本的發布，已經過去了兩個多月。本次更新對基於 Linux 的操作系統帶來了一些顯著的改進，尤其是 Ubuntu 和 Debian GNU / Linux 環境，其迎來了對 UEFI 安全啟動的驅動簽名支持。

來源： cnBeta.COM

詳情： http://www.dbsec.cn/zx/20190726-2.html

美股券商 Robinhood 承認以明文方式存儲了部分用戶密碼美股券商 Robinhood 在致受影響用戶的電子郵件中，承認以明文方式存儲了部分用戶的密碼。該公司在郵件中表示「本周一晚上，我們發現在我們的內部系統中部分用戶的憑證以可讀格式存儲。通過全面徹底的檢查之後目前我們已經解決了這個問題，沒有任何證據表明除了我們的響應團隊以外的人訪問過這些信息。」

來源： cnBeta.COM

詳情： http://www.dbsec.cn/zx/20190726-3.html

在暗網上交易超過 2300 萬張被盜信用卡研究人員稱，在 2019 年上半年，地下論壇提供了超過 2300 萬張信用卡和借記卡。周四，網路安全公司 Sixgill 發布了其地下金融欺詐報告，記錄了暗網中與被盜財務數據相關的趨勢和交易。

來源： ZDNet

詳情： http://www.dbsec.cn/zx/20190726-4.html

巴西銀行用戶暴露 250GB 數據泄露安全專家發現，屬於巴西金融服務提供商的未受保護的伺服器已經暴露了來自各個本地銀行客戶的大量數據。 Data Group 已檢測到此漏洞，並且公共域中可用的敏感個人信息的總文件大小估計為 250GB。

來源： ZDNet

詳情： http://www.dbsec.cn/zx/20190726-5.html

（信息來源於網路，安華金和搜集整理）

點擊「了解更多」可訪問文內鏈接

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！