微信、微博、陌陌等APP用户小心！新型安卓木马可窃取聊天记录

E安全4月4日讯 日前，网络安全企业 Trustlook 公司的安全研究人员发现了一种新型 Android 恶意软件。该软件专门从移动即时通讯（IM）客户端窃取数据，十余款热门即时通讯应用软件受影响。

Android 恶意软件功能单一

Trustlook 公司的研究人员在2018年4月2日发布的报告中指出，这款新型木马的设计非常简单，仅拥有以下几项功能：

一、从受感染应用程序的资源当中解压代码，以篡改应用引导过程以实现持久驻留。随后该代码会尝试修改“/system/etc/install-recovery.sh”文件，成功后，该文件将在应用每次启动时都执行这个 Android 恶意软件。

二、该恶意软件可以从以下 Android IM 客户端当中提取数据。这些数据将被上传至远程服务器，同时，该恶意软件会从本地配置文件当中检索远程服务器的 IP 地址。能够被该恶意软件从Android IM 客户端提取数据的应用软件包括：

• Facebook Messenger

• Skype

• Telegram

• Twitter

• 微信

• 微博

• Viber

• Line

• Coco

• BeeTalk

• 陌陌

• Voxer Walkie Talkie Messenger

• Gruveo Magic Call

• TalkBox Voice Messenger

  
  

研究人员在一款名为 Cloud Module（云模块）的中国应用当中发现了该恶意软件，其软件包名称为 com.android.boxa。

功能简单，但回避检测的技术则非常先进

Trustlook 公司的研究人员表示，尽管该恶意软件单纯着眼于窃取 IM 数据，但其采用了多种先进的回避检测技术。例如，该恶意软件会利用反仿真器与调试器检测技术以逃避动态分析，还会在源代码当中隐藏字符串以阻止代码逆向尝试。

从理论角度看，这样的精心的设计一般用于收集私人对话、图像以及视频，试图从中找到敏感数据并对高知名度这类用户进行勒索。

目前，研究人员尚未发布与该恶意软件传播方法的任何信息，但考虑到该恶意软件拥有中文名称，且中国尚未上线官方 Google Play软件商店，因此该恶意软件的作者很可能会通过 Android 上的第三方商店及应用程序论坛中的链接进行代码分发。

附该恶意软件信息：

• MD5：ade12f79935edead1cab00b45f9ca996

• SHA256：1413330f18c4237bfdc523734fe5bf681698d839327044d5864c9395f2be7fbe

• 大小：1774802字节

• 应用程序名称：Cloud Module（中文）

• 安装包名称：com.android.boxa