恶意软件指挥服务器在中国的部分分布图。(Lookout公司网站截图)
【看中国2017年9月18日讯】8月31日,智能手机安全软件公司Lookout发布了一份研究报告。报告显示,该公司发现了一种名为xRAT的新型移动木马,这种木马具有广泛的数据收集功能,并且能够远程运行“自杀”功能以避免被检测到。新的恶意软件与Xsser、mRAT相关联,这些恶意软件在2014年底曾因监控香港民运人士的iOS和Android设备而成为头条新闻。
Lookout近日发布的研究报告说,xRAT使用的大多数指挥控制服务器都在中国,有的出现在香港。研究过程中,Lookout持续定期地从多个来源获取mRAT新的Android变体样本。根据检测结果,Lookout确定该木马最近几个月已经在Android运行,从样本被部署的频率来看,该恶意软件家族正在不断发展,并积极地被用于各种活动。
报告披露,来自mRAT和xRAT系列的样本具有几乎相同的代码结构,使用相同的解密密钥,共享某些启发式和命名约定等等。众多相似之处强烈地表明,mRAT和xRAT来自同一个开发者。
更令人震惊的是,研究人员发现xRAT包含“自杀功能”,被触发后,xRAT发出卸载管理命令前会自行清除其自我安装目录。Lookout的分析还指出,xRAT包含一个强大的文件删除模块,能够删除大部分设备或攻击者指定的文件。可以远程指示xRAT从SD Card上的某些目录中删除图像、音频文件等等。
报告提到,xRAT具有搜索微信和QQ通信数据的功能。据China Change 9月10日报导,xRAT将成微信和QQ的爆炸性新型间谍软件。
日前,互联网自由观察人士古河向海外中文媒体表示,这种新型的微信木马其实主要是针对海外人士开发的。“对于大陆民众来说,微信安装新型木马完全没有必要,因为它就是对你,我盯住你了,你知道又能怎么样?但是它对海外用户,它就不能这样子做,因为对海外这样一做以后,海外一些国家民众一起诉,一抓住信息,它就非常非常被动,国际影响会非常坏。所以它不能因为这个被海外一些政府抓住把柄,所以它采取版本升级以后,可以自动消除它的东西,或者软件,间接软件自动销毁的功能,主要针对海外。”
早前,多伦多大学公民实验室(The Citizen Lab)调查发现,微信包括很多隐藏的功能,可以审查和监控人的一举一动。去年12月,The Citizen Lab研究报告再次披露,微信使用了一种“一APP两制”的内容过滤机制,区别审查中国和海外用户:微信自带的浏览器对中国用户屏蔽了一系列网站,包括法轮功的网站及一些对中共持批判立场的新闻网站;而海外用户则可以在不收到任何安全浏览警告信息下进入这些网站。
对于新型病毒xRAT,古河评论说:“你看这些软件,它的版本是越来越大,我在半年前跟大家说,微信它就是一个聊天软件加远程控制软件的合体,只不过远程控制软件你看不到,你安装的时候一点信息看不到,所以你只要安装微信以后,手机上面就没有任何秘密,因为它有一个远程控制软件在后台,悄悄的运行,在它们的微信监控平台上,能够看到你手机屏幕,能够对你手机进行任意操作。”
古河表示,安装微信以后,手机上的其它一些软件,比如Telegram,即使有二步安全验证法也没有用,“只要你那部手机安装了微信,你登入Telegram以后,它在屏幕上直接可以看到你Telegram的内容,没有用,而且可以操作,删除等等,他们在这方面做得太厉害,不管几次升级。其实是它后台的木马功能一步一步加强,随着微信版本不断提高,这种对于他们监控的程度是越来越高。”
“他们把木马程式伪装成pdf的文件格式,当你点击以后,一点击就中招,在以前的电脑里面很常见,是一种很常见的注入木马的手法,如果有新的(木马)版本出现,当然它不会通知你,它会静默安装,悄悄的安装,完了以后你根本就不知道,但是你可以看到流量上面有显示,但是你根本不知道这个流量是哪个软件造成……没有办法防范。”
“因为在中国大陆手机已经从基本硬件,再到软件,全面都受它们(中共)的控制,比如说像华为手机、中天手机,在它的系统里面,硬件里面都做一些手脚,民众根本没有办法防范,你要想防范,只有一种方法,多备几个手机,QQ和微信单独用一个手机。”古河说。
曾任汇丰银行资讯科技部副经理的单仲偕表示,中国大陆的公安和国安,对微信和QQ的内容喜欢看什么都可以看什么,“所以大家都要小心,我奉劝一句,如果是大陆人就麻烦,他们不能不用微信和QQ,但是在外地中国人不要用(微信和QQ)。”