新型Android木马窃取来自Facebook Messenger等IM客户端的数据

据外媒最新报道，安全研究人员发现了一种新的Android恶意软件应用程序，该程序能从移动即时通讯客户端窃取数据。

网络安全公司Trustlook的研究人员在周一发布的报告中称，这种新型木马在设计上非常简单。

只有少数功能

该木马首先是从受感染应用程序的资源中解压代码以获得引导持久性。该代码将尝试修改“/system/etc/install-recovery.sh”文件，如果成功，该文件将允许在每次启动时执行恶意软件。

其次，恶意软件可以从以下Android IM客户端提取数据，这些数据将随后上传到远程服务器。恶意软件从本地配置文件中检索此服务器的IP。

研究人员在一个名为Cloud Module的中文应用程序（中文）中发现了恶意软件，软件包名称为com.android.boxa。

功能简单，但回避技巧先进

Trustlook研究人员表示，尽管专注于窃取IM数据，但恶意软件使用了一些先进的逃避技术。 例如，恶意软件使用反仿真器和调试器检测技术来逃避动态分析，并且还在其源代码中隐藏字符串以阻止无法实现的代码反转尝试。

奇怪的是，该Android恶意软件只有一个功能，即提取和泄露IM数据。这种设计选择的理论是攻击者正在收集私人对话，图像和视频，试图找出敏感数据，这些数据可能会在勒索尝试中发挥作用，特别是对知名度高的受害者。

研究人员尚未分享有关恶意软件分发方法的任何信息，但考虑到恶意软件具有中文名称，并且中国没有Play商店，恶意软件的作者可能会通过Android上的第三方商店和链接分发恶意应用程序应用论坛。