近日，趋势科技宣称他们在一个钓鱼网站上发现了一个伪装成聊天APP的新型间谍软件家族，并认为这些恶意APP很有可能是在为一场大规模活动而做的准备。

根据趋势科技的说法，他们发现第一款恶意APP的时间是在今年5月份。恶意APP名为“Chatrious”，可通过点击网站上的下载按钮来下载安装包。

但在之后的几个月里，钓鱼网站一直处于关闭状态。直到今年10月份，钓鱼网站再次上线，但可下载的APP已经更换为了“Apex”。

分析表明，Apex和Chatrious同属一个间谍软件家族，都能够窃取用户的个人信息。目前，趋势科技已将该间谍软件家族标识为“AndroidOS_CallerSpy.HRX”。

图1. Chatrious（左）和Apex（右）

行为分析

如上所述，CallerSpy被描述为聊天APP，但分析表明它根本不具备聊天功能。

一旦执行，它就会通过Socket.IO启动与C&C服务器的连接，以监听来自C&C服务器的命令。

然后，它会利用Evernote Android-Job开始调度计划任务以窃取信息。

图2. CallerSpy启动C＆C连接（左），然后开始调度计划任务（右）

CallerSpy会设置多个计划任务，以收集受感染设备上的通话记录、短信、联系人列表和文件。此外，它还能够进行屏幕截图，并将截图上传到C＆C服务器。

图3.预设的计划任务

所有的被盗信息都将被存储在本地数据库中，然后定期上传到C＆C服务器。

CallerSpy的目标文件类型如下：

• jpg
• jpeg
• png
• docx
• xl​​s
• xlsx
• ppt
• pptx
• pdf
• doc
• txt
• csv
• aac
• amr
• m4a
• opus
• wav
• amr

图4.本地数据库

当CallerSpy接收到来自C＆C服务器的命令后，它便会进行屏幕截图。随后，它将对截图进行Base64编码，并通过预先配置的Socket.IO连接上传到C&C服务器。

图5.监听来自C＆C服务器的命令（左），屏幕截图并上传截图（右）

基础设施分析

为了诱骗用户下载APP，攻击者使用了类似Google的山寨域名——Gooogle。

图6.伪造的版权信息

Whois查询显示，这个域名是于2019年2月11日在Namecheap注册的，但是有关注册人的信息全都无法追溯。

图7. gooogle[.]press的注册信息

虽然趋势科技设法捕获到了四个C＆C服务器IP地址，但却发现他们都托管在合法服务上，唯一能确定的只有C＆C服务在端口3000上使用Node.js。

暴风雨的前夕

趋势科技，他们到目前为止还没有发现实际的CallerSpy感染者，但同时也提出了一个可能，即CallerSpy目前仍处于测试阶段，攻击者很可能是在为一场大规模活动而做准备。

首先，CallerSpy目前还没有用户界面（UI），也没有其所描述的聊天功能。

其次，它目前使用的仍是默认的应用程序图标，甚至被标记为“rat”，而且还存留了一些调试代码。

图8. CallerSpy的图标和名称（左），调试代码（右）

再次，样本认证信息也表明，它目前仅用于测试。

图9.认证信息

最后，钓鱼网站页面上有三个按钮，分别是“APPLE STORE”、“GOOGLE PLAY”和“WINDOWS STORE”，说明CallerSpy至少适用于Apple、Android和Windows这三个平台。

图10.CallerSpy被宣传为支持三大平台

但实际情况是，它目前仅支持Android。