PhoneSpy间谍软件监视数千部安卓设备分析

1. 背景概述

移动端间谍软件的威胁逐年攀升，攻击者日益偏向使用社交工程结合精心设置的钓鱼攻击，以欺骗用户下载并安装恶意应用程序。由于间谍软件高度隐蔽的特征，一旦安装成功，受害者通常难以察觉。攻击者可通过窃取的隐私数据进行金融勒索，或者利用受感染的移动设备获取其他平台的访问权限，实施更广泛的跨平台攻击。

PhoneSpy家族最早于2020年被Lookout披露伪装为Goontact恶意软件[1]，针对中国、韩国和日本开展钓鱼攻击活动。攻击者利用色情网站，吸引用户通过即时通讯平台KakaoTalk、Telegram以及Line进行视频聊天并下载Goontact，安装后样本仅窃取了联系人、照片等隐私信息，故而推测后续攻击者将对受害人群展开金融勒索。

图1-1 利用色情网站RedVelvet钓鱼攻击

2021年5月，安天移动威胁情报团队发现了Goontact最新样本，名为“갤러리”（译为“画廊”），安装后会窃取受害者联系人、通话记录、短信和图片信息。样本代码中包含了攻击者使用服务器的账号及密码，并在分析服务器资产时发现了Goontact恶意软件使用的域名，由此判断为同一攻击者。

2022年9月起，PhoneSpy家族间谍软件再次高频活跃，先后伪装成多款韩国热门应用程序。仿冒样本的恶意功能数量逐渐增多，会执行控制相机、录音、获取装机应用列表、忽略电池优化等行为。因仿冒样本代码层中皆保留了的服务器账户及密码，且与“사진”样本中一致，因此判断属于PhoneSpy间谍软件。通过服务器上存储的受害者数据，发现受害者数千人，受害区域集中在我国和韩国。

本篇报告将涉及内容：

• PhoneSpy间谍软件的恶意功能
• PhoneSpy家族历史攻击活动情况
• 受害者情况

2. PhoneSpy间谍软件的恶意功能

通过对PhoneSpy家族仿冒样本的分析，该间谍软件可以在受感染设备上执行以下操作：

• 隐藏桌面图标
• 忽略电池优化
• 获取通讯录信息，增加或删除指定联系人
• 获取外部存储
• 读取、发送及删除短信
• 全局弹窗
• 拨打电话或强制通话
• 获取手机账户列表
• 获取装机应用列表
• 获取位置信息
• 控制相机
• 录音
• 卸载应用

远控指令方面，对比2022年的样本，攻击者为了提高攻击的成功率和持久性，在2023年新的仿冒样本中减少了远控指令的数量，删除了一些恶意功能：获取位置信息、相机控制、录音控制、呼叫转移、卸载应用和强制通话等。

3. PhoneSpy家族历史攻击情况

■ 仿冒“갤러리”图片管理器应用

2021年5月，安天移动威胁情报团队发现了归属于Goontact的最新样本，样本名为“갤러리”，伪装为一款图片管理器应用，安装后会获取联系人、通话记录、短信和图片信息。

“갤러리”样本基本情况：

图3-1 “사진”样本基本信息

样本会获取联系人、通话记录、短信和图片信息：

图3-2 “사진”样本恶意功能

样本中包含了服务器账号和密码：

图3-3 服务器账号及密码

服务器后台攻击者的测试数据中，关联到了Goontact钓鱼网站域名，由此判断为统一攻击者。

图3-4 服务器后台截图

■ 仿冒韩国政府门户网站应用

2022年9月，PhoneSpy家族仿冒韩国代表性政府门户网站“정부24”恶意样本在团队日常狩猎活动被捕获。“정부24”是向韩国民众提供综合政府服务、民事投诉、补贴、政策及信息的移动平台，正版应用在GooglePlay商店下载量超1000万，具有广泛的受众基础。

“정부24”样本基本情况：

图3-5 “정부24”样本基本信息

经分析发现，攻击者在疫情期间以新冠疫情津贴网络申请为由创建了钓鱼页面分发“정부24”仿冒样本，以此引诱受害者下载安装。受害者大部分为韩国民众，但我们也发现了部分国内终端受害。

“新冠疫情津贴”网络申请页面如下：

图3-6 新冠疫情津贴网络申请网页

■ 仿冒韩国知名手机防护应用

2023年4月，团队再次发现了PhoneSpy的活动轨迹，此次该间谍软件伪装成韩国知名安全软件“安博士”，应用名为V3 Mobile Security。该应用同样是一款热门应用，由韩国首家从事开发杀毒软件的安实验室公司推出，主要功能为 Android手机中的移动恶意软件检测，在Googleplay商店的安装量超过了1000万。

“V3 Mobile Security”样本基本情况：

图3-7 “V3 Mobile Security”样本基本信息

对比2022年“정부24”仿冒样本，可以看出攻击者逐步对样本代码结构进行了优化。

图3-8 样本包结构对比（右为2022年）

新样本将服务类和广播接收者整合到keepalive保活模块中：

图3-9 服务类和广播接收者整合到keepalive保活模块

此次攻击活动受害者主要为韩国民众，同样也发现了国内受害者。在其中一位受害者的Telegram聊天截图中发现名为AK Soft账号疑似为攻击者，引导受害者安装一个名为“智能快递”的恶意样本。由此推测，本轮攻击活动利用了TG等加密通讯应用，结合了社会工程学发起了定向钓鱼攻击。

图3-10 TG聊天截图

■ 仿冒韩国某讣告应用

2023年11月初，名为“부고장”仿冒韩国讣告应用的恶意样本再次进入分析团队的视野中，该应用主要提供创建、发送和共享讣告的服务。本月已新增同源样本10余例，搭载了攻击者多个服务器，其中存储了大量的受害终端设备信息以及受害者相册中的图片数据，根据终端id判断受害者超过1400人。

“부고장”样本基本情况：

图3-11 样本基本信息

以2023年11月最新捕获的仿冒韩国地区讣告应用恶意样本为例，进行样本分析。

使用数据回传api接口列表：  

图3-12 数据回传api接口

隐藏桌面图标：

图3-13 隐藏桌面图标

请求忽略电池优化：

图3-14 请求忽略电池优化

APP数据回传服务器相关配置：

图3-15 数据回传服务器相关配置

连接到MQTT服务器：

图3-16 连接到MQTT服务器

注册广播接收者监听屏幕状态：

图3-17 注册广播接收者

图3-18 监听屏幕状态

获取手机号码：

图3-19 获取手机号码

使用内置的账户密码登录：

图3-20 使用内置账户密码

双进程保活：

图3-21 双进程保活

以静音的方式播放音乐用于保活：

图3-22 静音的方式播放音乐保活

接收开机广播和通话广播，启动后台服务：

图3-23 接收开机广播和通话广播，启动后台服务

获取联系人信息：

图3-24 获取联系人信息

删除指定联系人：

图3-25 删除指定联系人

增加联系人：

图3-26 增加联系人

拨打电话：

图3-27 拨打电话

窃取yessign证书，这是韩国国家公钥基础设施（NPKI）相关的文件，NPKI被app开发者和银行用于保护金融交易。如果攻击者成功获取到NPKI文件，他们就可以冒充受害者进行金融交易。最终会将窃取到的证书打包为NPKI.zip并上传。

图3-28 窃取yessign证书

 图3-29 yessign证书说明

上传视频和图片文件：

图3-30 上传视频和图片文件

获取已安装应用列表：

图3-31 获取已安装应用列表

获取短信：

图3-32 获取短信

添加短信及删除短信：

图3-33 添加短信

图3-34 删除短信

获取手机账户列表：

图3-35 获取手机账户列表

远控指令及功能如下：

表1 远控指令及功能

4. 受害者情况

受害者银行卡及银行存折：

图4-1 受害者银行卡

图4-2 受害者银行存折

受害者炒币记录：

图4-3 受害者炒币记录

部分受害者身份证件信息：

图4-4 受害者护照信息

部分韩国军人相关信息：

图4-5 军人相关信息

5. 总结与建议

END

武汉安天信息技术有限责任公司（简称安天移动安全）成立于 2010 年，是安天科技集团旗下专注于移动智能用户生态安全防护的科技公司。自主创新的移动反病毒引擎，在 2013 年以全年最高平均检出率荣获 AV-TEST“移动设备最佳防护”奖，实现了亚洲安全厂商在全球顶级安全测评领域重量级奖项零的突破。经过十余年的发展与积累，公司的反病毒引擎产品已与移动终端设备厂商、移动应用开发者、运营商、监管部门等移动设备产业链上下游企业机构伙伴成功合作，为全球超 30 亿移动智能终端设备提供全维度、全生命周期安全护航，已发展成为全球领先的移动互联网安全防护厂商。安天移动安全始终秉承安全普惠使命，通过自主创新国际领先的安全核心技术，与产业链各方共同打造操作系统内生安全的绿色生态链，为新时代用户打造国民级安全产品，在万物互联时代营造更安全和可持续的全场景健康数字体验。

安天移动威胁情报团队致力于移动APT活动研究及移动安全攻防对抗技术研究，由一支拥有前沿移动端安全对抗技术、多年境外APT组织实战对抗经验、漏洞分析与挖掘能力的一流安全工程师团队组成。在近些年，成功通过基于安天移动样本大数据的APT特马风控预警运营体系，持续发现包含肚脑虫、利刃鹰、APT37等多个APT组织的移动端攻击活动，并依托该体系建立了一线移动端攻击活动的捕获能力、拓线溯源分析能力。安天移动威胁情报团队未来将仍持续专注于移动安全领域研究，以安全普惠为核心价值观，建设一支召之即来，来之能战，战之必胜的顶尖网络安全团队，并将长久且坚定地维护移动网络世界安全。