微信新木馬xRAT蔓延 功能驚人還會自盡(圖)
惡意軟體指揮伺服器在中國的部分分布圖。(Lookout公司網站截圖)
【看中國2017年9月18日訊】8月31日,智能手機安全軟體公司Lookout發布了一份研究報告。報告顯示,該公司發現了一種名為xRAT的新型移動木馬,這種木馬具有廣泛的數據收集功能,並且能夠遠程運行「自殺」功能以避免被檢測到。新的惡意軟體與Xsser、mRAT相關聯,這些惡意軟體在2014年底曾因監控香港民運人士的iOS和Android設備而成為頭條新聞。
Lookout近日發布的研究報告說,xRAT使用的大多數指揮控制伺服器都在中國,有的出現在香港。研究過程中,Lookout持續定期地從多個來源獲取mRAT新的Android變體樣本。根據檢測結果,Lookout確定該木馬最近幾個月已經在Android運行,從樣本被部署的頻率來看,該惡意軟體家族正在不斷發展,並積極地被用於各種活動。
報告披露,來自mRAT和xRAT系列的樣本具有幾乎相同的代碼結構,使用相同的解密密鑰,共享某些啟髮式和命名約定等等。眾多相似之處強烈地表明,mRAT和xRAT來自同一個開發者。
更令人震驚的是,研究人員發現xRAT包含「自殺功能」,被觸發後,xRAT發出卸載管理命令前會自行清除其自我安裝目錄。Lookout的分析還指出,xRAT包含一個強大的文件刪除模塊,能夠刪除大部分設備或攻擊者指定的文件。可以遠程指示xRAT從SD Card上的某些目錄中刪除圖像、音頻文件等等。
報告提到,xRAT具有搜索微信和QQ通信數據的功能。據China Change 9月10日報導,xRAT將成微信和QQ的爆炸性新型間諜軟體。
日前,網際網路自由觀察人士古河向海外中文媒體表示,這種新型的微信木馬其實主要是針對海外人士開發的。「對於大陸民眾來說,微信安裝新型木馬完全沒有必要,因為它就是對你,我盯住你了,你知道又能怎麼樣?但是它對海外用戶,它就不能這樣子做,因為對海外這樣一做以後,海外一些國家民眾一起訴,一抓住信息,它就非常非常被動,國際影響會非常壞。所以它不能因為這個被海外一些政府抓住把柄,所以它採取版本升級以後,可以自動消除它的東西,或者軟體,間接軟體自動銷毀的功能,主要針對海外。」
早前,多倫多大學公民實驗室(The Citizen Lab)調查發現,微信包括很多隱藏的功能,可以審查和監控人的一舉一動。去年12月,The Citizen Lab研究報告再次披露,微信使用了一種「一APP兩制」的內容過濾機制,區別審查中國和海外用戶:微信自帶的瀏覽器對中國用戶屏蔽了一系列網站,包括法輪功的網站及一些對中共持批判立場的新聞網站;而海外用戶則可以在不收到任何安全瀏覽警告信息下進入這些網站。
對於新型病毒xRAT,古河評論說:「你看這些軟體,它的版本是越來越大,我在半年前跟大家說,微信它就是一個聊天軟體加遠程式控制制軟體的合體,只不過遠程式控制制軟體你看不到,你安裝的時候一點信息看不到,所以你只要安裝微信以後,手機上面就沒有任何秘密,因為它有一個遠程式控制制軟體在後臺,悄悄的運行,在它們的微信監控平台上,能夠看到你手機屏幕,能夠對你手機進行任意操作。」
古河表示,安裝微信以後,手機上的其它一些軟體,比如Telegram,即使有二步安全驗證法也沒有用,「只要你那部手機安裝了微信,你登入Telegram以後,它在屏幕上直接可以看到你Telegram的內容,沒有用,而且可以操作,刪除等等,他們在這方面做得太厲害,不管幾次升級。其實是它後臺的木馬功能一步一步加強,隨著微信版本不斷提高,這種對於他們監控的程度是越來越高。」
「他們把木馬程式偽裝成pdf的文件格式,當你點擊以後,一點擊就中招,在以前的電腦裡面很常見,是一種很常見的注入木馬的手法,如果有新的(木馬)版本出現,當然它不會通知你,它會靜默安裝,悄悄的安裝,完了以後你根本就不知道,但是你可以看到流量上面有顯示,但是你根本不知道這個流量是哪個軟體造成……沒有辦法防範。」
「因為在中國大陸手機已經從基本硬體,再到軟體,全面都受它們(中共)的控制,比如說像華為手機、中天手機,在它的系統裡面,硬體裡面都做一些手腳,民眾根本沒有辦法防範,你要想防範,只有一種方法,多備幾個手機,QQ和微信單獨用一個手機。」古河說。
曾任匯豐銀行資訊科技部副經理的單仲偕表示,中國大陸的公安和國安,對微信和QQ的內容喜歡看什麼都可以看什麼,「所以大家都要小心,我奉勸一句,如果是大陸人就麻煩,他們不能不用微信和QQ,但是在外地中國人不要用(微信和QQ)。」