2.2 网络指令控制
家族:Lien.d
说明:连接恶意远程服务器,接收服务器指令控制
2.3 google云推送
家族:Tramp.a
说明:其实该控制方式也属于网络的一种,只有不是直接由恶意远程服务器控制,而由google云服务器进行指令发送,具有一定隐蔽性。
注册google GCM监听广播
根据指令执行相关操作。
三、隐私回传方式
3.1 短信方式回传
家族:Lurker.a
说明:短信回传操作简单,实用(只要手机还有话费即可)。一般个人开发的程序采用此种方式,当然也有程序通过短信发送回执信息,如指令招行成功与否。
发送短信记录
发送通话记录
3.2 网络方式回传
家族:VladoSpy.a
说明:一般通过网络回传的间谍件,都有一个功能强大的后台管理系统,进行统一查看或管理。该类间谍件一般功能强大,大都是要收费的。
获取设备信息
短信记录
3.3 邮箱方式回传
家族:Dd1d.e
说明:通过邮箱发送用户相关信息或程序安装状态等。
通过163邮箱进行发送
已发送邮件
四、常见功能
典型功能:短信记录,通话记录,联系人等。
4.1 获取短信记录
访问短信常见协议
4.2 获取通话记录
常用uri: CallLog.Calls.CONTENT_URI;
4.3 获取联系人信息
获取联系人uri: android.provider.ContactsContract.CommonDataKinds.Phone.CONTENT_URI, android.provider.Contacts.People.CONTENT_URI
4.4 通话录音
常见的有通话或环境录音
4.5 拍照
拍摄照片
五、借我一双慧眼–识别间谍应用
5.1 无图标或隐藏图标
无activity,安装无图标,仅有广播和服务。
首次安装有图标,但下次运行会隐藏图标的。
一般通过setComponentEnabledSetting API进行隐藏图标。
5.2 激活设备管理器
AM注册有激设备管理器,而又无图标或隐藏图标的。
5.3 短信监听
会监听短信,有拦截行为,同时会对短信内容进行判断的,如*,#开头的,等不同于一般用户发短信习惯的。
5.4 大量可疑权限
短信,联系人,定位等大量可疑权限,同时包名又比较可疑的。
一般来说同时拥有以下三种或以上权限很可疑。
5.5 邮件发送
有邮件发送代码同时有大量可疑权限及服务。
5.6 包名伪装系统服务
包名和程序名伪装系统服务或应用。
5.7 大量字串比较
字串比较一般用于指令的匹配。
如:startsWith
如:equals
5.8 字串表关键字
直接搜索字串表,看到很多敏感关键字的。
中文:指令,开启录音,通话,上传
英文:uploadgps,uploadrecord
其实明显指令提示信息。
5.9 通话监听
监听拨打电话并对号码进行判断的,所拨打号码一般包含*,#等,不是用户常规拨打号码。
5.10 服务过多,activity较少。
5.11 查看包结构
间谍软件一般目地性较强,组织结构较清晰,若包名中包含:call,contact,gps,record,server,task等较为可疑。
六、小结
间谍类程序功能强大,一旦中招,个人将再无隐私可言,危害极大。同时还具有隐蔽性强(安装无图标,仅启动服务),不易清除(激活设备管理器,防卸载)等特点。针对此类间谍应用,安天安全专家建议,养成安全意识,从知名站点下载应用,未运行此软件用户可直接清除。
同时可以下载AVL移动安全团队AVL Pro对恶意应用进行查杀。