【安全资讯】PhoneSpy：监视韩国公民的Android软件

引言

PhoneSpy是一款最新披露的Android 恶意软件，具有间谍软件功能，能够窃取用户的敏感信息并接管设备的麦克风和摄像头。目前，已有1000多名韩国用户成为PhoneSpy间谍软件的目标。

简况

“PhoneSpy”间谍软件伪装成 Yoga 配套应用程序、Kakao Talk 消息应用程序、图片库浏览器、照片编辑工具等。隐藏在伪装应用程序中的间谍软件可以在受感染的设备上执行以下操作：

• 获取已安装应用程序的完整列表
• 卸载设备上的任何应用程序
• 通过从 C2 提供的链接下载 APK 来安装应用
• 使用 C2 发送的钓鱼 URL 窃取凭据
• 窃取图像（来自内部和 SD 卡存储器）
• 监控 GPS 位置
• 窃取短信
• 窃取手机通讯录
• 窃取通话记录
• 实时录制音频
• 使用前后摄像头实时录制视频
• 访问相机以使用前后摄像头拍照
• 使用攻击者控制的文本向攻击者控制的电话号码发送短信
• 泄露设备信息（IMEI、品牌、设备名称、Android 版本）
• 隐藏图标从而隐藏存在

PhoneSpy间谍软件窃取的数据范围非常广泛，除了间谍软件功能之外，还通过显示各种站点的虚假登录页面积极尝试窃取凭据。PhoneSpy 活动中使用的网络钓鱼模板模仿 Facebook、Instagram、Kakao 和 Google 帐户登录页面，从而窃取用户凭据。间谍软件应用程序请求的权限如下图：

“PhoneSpy”间谍软件的钓鱼页面如下图：

目前，研究团队确定了 23 个恶意应用程序，此间谍软件活动已经感染了数千名受害者。研究人员推测，PhoneSpy的开发者已经收集了大量有关受害者的个人和公司信息，包括私人通信和照片。PhoneSpy间谍软件只针对韩国，受害者地图如下：

总结

目前，研究人员暂未确定恶意应用程序的初始分发渠道，因为攻击者没有将应用程序上传到 Google Play 商店。这些伪造的应用程序可能通过网站、社交媒体、论坛，甚至网络硬盘和种子分发。