全球网络安全设备供应商Fortinet旗下安全威胁研究团队FortiGuard Labs在上个月偶然发现了几个处于活跃状态的Android 间谍软件样本。经分析后发现，这些样本属于被该团队命名为BondPath（也被称为PathCall或Dingwe）的恶意软件家族。该恶意软件家族于2016年5月首次被公开报道，但从最新发现的样本来看，它对于未受到保护的Android设备来说仍然构成威胁。

这些新发现的样本伪装成Google Play应用商店APP。从本质上讲，如果你足够细心的话是完全可以免受其害的。因为，它的开发者名称显示为“hola”，明显不是来自于谷歌官方。

FortiGuard Labs指出，BondPath间谍软件能够很好地隐藏自己。首先，如果你的Android设备处于解锁状态，那么恶意APP在完成安装之后，你不会收到任何提醒通知。其次，在首次启动之后，它会删除自身图标。因此，你很难发现有人正在你的设备上进行间谍活动。

不过，你仍然可以通过应用程序列表找到它。以下图为例，你会看到有两个Google Play应用商店程序。

• 一个名为“Google Play service”（合法）；
• 另一个名为“Google Play Store Services”（恶意）。

BondPath是一个功能齐全的间谍软件

BondPath间谍软件实现了一系列的间谍功能，允许攻击者收集以下信息：

• 录音
• 浏览器历史记录
• 日历
• 通话记录
• 通讯录
• 设备信息
• 电子邮件
• 设备上的文件
• 已安装的应用程序
• 发送和接收的短信

收集的信息将通过HTTP发送到远程服务器。从数据的打包方式来看，BondPath的开发者对于加密技术知之甚少，使得安全研究人员能够很容易地解密这些数据包。

还包含检测设备电量和收集社交聊天的功能

BondPath间谍软被发现还包含了向攻击者报告受感染设备的电池状态的功能，虽然我们并不清楚这个功能具体有何作用。

另外，攻击者还可以通过远程控制受感染设备来收集更多的数据。尤其值得注意的是，该间谍软件能够从诸如WhatsApp、Skype、Viber、Line、Facebook和BBM这样的社交APP中窃取聊天记录。为了实现这个功能，攻击者需要通过远程控制将命令（格式为“PULLREQUEST_xxxx”）发送给间谍软件。例如，PULLREQUEST_skypelog或PULLREQUEST_fbmessenger等。

BondPath具有一个便捷的远程管理面板

对于BondPath监视的每一台设备，它都会在其远程管理面板上注册一个新的“账户”。帐户的用户名基于当前时间戳，密码是随机生成的。幸运的是，通过使用模拟器解密其通信，FortiGuard Labs能够登录到BondPath的远程管理面板。

结论

BondPath间谍软件并没有展示出任何特殊的新技术（不涉及漏洞利用，也没有负责的混淆），但它在传播和功能方面表现出了作为一个成熟的间谍软件应具备的能力。在十年以前，间谍软件仅限于几个主要的功能，如读取发送/接收的短信或通话（如Spy/MobileSpy!WinCE或Spy/Spyiolan!SymbOS）。但发展至今，间谍软件已经被嵌入大量的其他功能，并且更具有效性。因此，如果你的Android设备仍未受到保护，那么请三思，因为犯罪分子正时刻准备着利用你。

扫一扫或点击进入“上海奥航智能科技有限公司”官网：www.aohsmart.com                                扫一扫或点击进入“中国移动安全信息网”：cn-mobi.com              

免责声明：本文仅代表作者个人观点，与www.smart-alliance.com网站无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。