情境示意圖,Photo by Artem Smus on unsplash

Cisco Talos本周揭露一專門竊取通訊程式內容的Android間諜程式WolfRAT,在偵測到使用者開啟特定程式時,就會拍下通訊畫面,並上傳到由駭客所掌控的C&C伺服器,主要目標為泰國的Android手機用戶。

WolfRAT一開始先偽裝成合法服務,像是Google Play或是Flash更新程式,但在使用者安裝後即會伺機竊取裝置上的機密通訊,當使用者開啟WhatsApp、Messenger或Line程式之後,就會進行螢幕截圖,再把它們傳給駭客。

其實WolfRAT並不是個複雜的間諜程式,它複製了許多公開的程式碼,還使用了已被列為惡意的C&C伺服器,研究人員公布WolfRAT的用意之一,是想昭告天下,惡名昭彰的間諜程式組織Wolf Research可能又回來了。

Wolf Research為德國專門開發間諜與竊聽程式的業者,CSIS的研究人員曾在2018年公開其惡行,還公布該公司在賽浦勒斯、保加利亞、羅馬尼亞、印度或美國都設有辦公室,之後Wolf Research就關閉了。

然而,Cisco Talos卻發現WolfRAT與Wolf Research之間的連結,例如它們使用了同樣的C&C伺服器,有雷同的架構,也都相準Android手機;同時也相信WolfRAT成員已另起爐灶,在賽浦勒斯成立了新的LokD公司,LokD對外宣稱可提供更安全的Android手機,也研究Android手機的零時差漏洞,而LokD即是WolfRAT的掩護。

儘管WolfRAT只具備業餘的水準,它主要複製了之前曾在網路上流傳的惡意程式DenDroid,且類別永遠無法變成實例,還使用不穩定的套件與不安全的面板,但研究人員認為,有效的產品比穩定的產品還重要,猜測WolfRAT可能是為了迎合客戶的時效性所開發出的急就章產品。


Advertisement

更多 iThome相關內容