信息來(lái)源：FreeBuf

前言 

隨著移動(dòng)互聯(lián)網(wǎng)的飛速發(fā)展，智能手機(jī)已成為我們?nèi)粘Ｉ钪胁豢苫蛉钡墓ぞ摺Ｉ缃?、娛?lè)、金融服務(wù)，智能手機(jī)在為我們提供便捷服務(wù)的同時(shí)也攜帶了大量的個(gè)人敏感數(shù)據(jù)。基于Android平臺(tái)的開發(fā)性和移動(dòng)設(shè)備提供的豐富功能，許多組織和個(gè)人瞄上了“間諜軟件”這塊巨大的市場(chǎng)，持續(xù)開發(fā)運(yùn)行于移動(dòng)設(shè)備上的木馬”間諜軟件”，竊取組織或個(gè)人信息，在受害者毫不知情的情況下，偷偷將信息回傳給控制服務(wù)器。

圖1  Android設(shè)備“間諜軟件”

“間諜軟件”通常可以做到收集受害者的短信、聯(lián)系人、通話記錄、通話錄音和網(wǎng)絡(luò)瀏覽記錄，或者遠(yuǎn)程開啟攝像頭和麥克風(fēng)，對(duì)目標(biāo)進(jìn)行監(jiān)聽(tīng)和監(jiān)視。有些“間諜軟件”也可以竊取指定應(yīng)用的數(shù)據(jù)，如Whatapp、Gmail、Skype、Facebook、Twitter以及微信、QQ等。更有一些用于APT攻擊的”間諜軟件”甚至可以做到傳播病毒和木馬，以受害人手機(jī)為基礎(chǔ)和跳板，進(jìn)一步攻擊最終目標(biāo)，這類攻擊非常復(fù)雜和冒險(xiǎn)，攻擊者往往需掌握著目標(biāo)系統(tǒng)的0day漏洞才能成功。

一、“間諜軟件”發(fā)展趨勢(shì)

根據(jù)騰訊反詐騙實(shí)驗(yàn)室的大數(shù)據(jù)顯示，Android”間諜軟件”樣本數(shù)量近兩年呈上升趨勢(shì)，其中17年較16年上漲約20%。

2016-2017 Android“間諜軟件”收集數(shù)量

 “間諜軟件”的感染用戶量也呈明顯的上升趨勢(shì)，顯示越來(lái)越多的用戶受到”間諜軟件”的威脅。

 

2016-2017  Android“間諜軟件”感染用戶量

二、國(guó)內(nèi)外年度重大惡意“間諜軟件”事件

1、Chrysaor，Android版的Pegasus

17年4月，Google和Lookout的安全實(shí)驗(yàn)室報(bào)道了一款非常復(fù)雜的Android“間諜軟件”， 這款“間諜軟件”名叫Chrysaor，被攻擊者用來(lái)攻擊以色列、格魯吉亞、土耳其和墨西哥等國(guó)的活躍分子以及新聞?dòng)浾?。?jù)稱，這款“間諜軟件”很可能是出自色列間諜公司NSOGroup之手，此公司16年曾利用iOS端的惡意”間諜軟件”Pegasus來(lái)攻擊阿聯(lián)酋人權(quán)活動(dòng)家。外界廣泛認(rèn)為，NSO Group可以制作出最先進(jìn)的移動(dòng)端“間諜軟件”，且他們可能將這些產(chǎn)品出售給他國(guó)政府、執(zhí)法機(jī)構(gòu)以及獨(dú)裁政權(quán)。

Chrysaor“間諜軟件”功能強(qiáng)大，不僅可以從手機(jī)的聊天軟件中竊取用戶的隱私數(shù)據(jù)，還可以通過(guò)手機(jī)的攝像頭和麥克風(fēng)來(lái)監(jiān)視用戶的一舉一動(dòng)。更重要的是，它還可以進(jìn)行自毀操作，而正是由于這款“間諜軟件”擁有非常智能的自毀機(jī)制，因此它在使用三年后才被研究人員發(fā)現(xiàn)。Chrysaor”間諜軟件”具備以下幾種功能：

1.    從目前熱門的App中竊取數(shù)據(jù)，受影響的應(yīng)用包括Gmail、WhatsApp、Skype、Facebook、Twitter、Viber以及Kakao等。

2.    通過(guò)SMS短信來(lái)遠(yuǎn)程控制目標(biāo)設(shè)備。

3.    在后臺(tái)記錄實(shí)時(shí)視頻和語(yǔ)音信息。

4.    鍵盤記錄和屏幕截圖。

5.    禁用系統(tǒng)的自動(dòng)更新以防止設(shè)備漏洞被修復(fù)。

6.    通過(guò)自毀機(jī)制來(lái)躲避檢測(cè)。

Chrysaor“間諜軟件”擁有非常智能的自毀機(jī)制，當(dāng)它發(fā)現(xiàn)任何有可能威脅到自身的檢測(cè)行為時(shí)，它可以將自己從目標(biāo)設(shè)備中刪除。例如出現(xiàn)下面這幾種情況時(shí)，Pegasus將會(huì)進(jìn)行自毀操作：

1.    SIM MCC ID無(wú)效；

2.    設(shè)備中存在與安全產(chǎn)品有關(guān)的文件；

3.    持續(xù)六十天無(wú)法與后臺(tái)服務(wù)器連接；

4.    接收到服務(wù)器發(fā)送過(guò)來(lái)的自毀命令；

Lookout的研究人員認(rèn)為，Chrysaor “間諜軟件”可以通過(guò)基于SMS的釣魚信息來(lái)進(jìn)行傳播，就像Pegasus感染iOS設(shè)備一樣。且Chrysaor利用了名叫Framaroot的著名Android漏洞來(lái)root目標(biāo)設(shè)備并獲取設(shè)備的完整控制權(quán)，以便其從熱門的App中竊取數(shù)據(jù)。更重要的是，從Chrysaor“間諜軟件”最初使用至今，NSO Group很可能還發(fā)現(xiàn)了很多新的Android 0 day漏洞，并將相應(yīng)的漏洞利用代碼更新到了新版本的Chrysaor“間諜軟件”之中。

2、Lipizzan“間諜軟件”家族

17年8月，Google披露了一款名為L(zhǎng)ipizzan的家族，此家族疑似由網(wǎng)絡(luò)武器公司Equus Technologies開發(fā)。Lipizzan的“間諜軟件”偽裝成具備清理功能、備份功能的應(yīng)用程序來(lái)吸引用戶下載安裝，并在后臺(tái)偷偷連接服務(wù)器，竊取用戶的電子郵件、短信、位置信息以及屏幕截圖等隱私數(shù)據(jù)。目前在谷歌應(yīng)用商店中發(fā)現(xiàn)有的20多款應(yīng)用屬于Lipizzan家族，感染用戶為國(guó)外小部分用戶，國(guó)內(nèi)用戶并未受到波及。

Lipizzan”間諜軟件”的攻擊的方式主要分為兩個(gè)階段：

第一階段：Lipizzan偽裝應(yīng)用市場(chǎng)上下載頻次比較高的應(yīng)用，比如偽裝成“Backup”或“Cleaner”等應(yīng)用程序，隱藏于各種APP下載渠道中，包括Google Play等應(yīng)用市場(chǎng)，等待用戶下載安裝。

第二階段：Lipizzan在安裝運(yùn)行后，能對(duì)被感染的設(shè)備進(jìn)行檢測(cè)，當(dāng)設(shè)備環(huán)境符合一定標(biāo)準(zhǔn)后獲取設(shè)備的root權(quán)限，對(duì)用戶的短信記錄、聯(lián)系人名錄、電子郵件甚至是一些知名APP的隱私數(shù)據(jù)等進(jìn)行收集，并在用戶毫無(wú)感知的情況下上傳至攻擊者服務(wù)器。

受Lipizzan“間諜軟件”影響的應(yīng)用主要有：Gmail、Hangouts、KakaoTalk、LinkedIn、Messenger、Skype、Snapchat、StockEmail、Telegram、Threema、Viber和Whatsapp等。

3、Xsser mRAT 的新變種 xRAT

17年9月，移動(dòng)安全公司 Lookout 的研究人員發(fā)布了一款復(fù)雜的“間諜軟件”xRAT的報(bào)告。報(bào)告指出，xRAT是之前攻擊過(guò)香港抗議者的間諜程序 Xsser mRAT 的新變種，新發(fā)現(xiàn)的 xRAT 與 mRAT 有著相同的代碼結(jié)構(gòu)、解密密鑰和命名約定，顯示它們由同一團(tuán)隊(duì)開發(fā)，此外xRAT 的指令控制中心還與 Windows 惡意程序有關(guān)，意味著這是一個(gè)跨平臺(tái)攻擊行動(dòng)。

xRAT 包含了很多先進(jìn)的功能，如動(dòng)態(tài)加載額外代碼，探測(cè)躲避、刪除指定應(yīng)用和文件、搜索特定應(yīng)用數(shù)據(jù)等，且攻擊者能實(shí)時(shí)的遠(yuǎn)程控制大部分功能。下面是xRAT詳細(xì)的功能列表：

獲取網(wǎng)頁(yè)瀏覽記錄；

獲取設(shè)備信息（如型號(hào)、廠商、IMEI、設(shè)備序列號(hào)）；

獲取短信息；

獲取聯(lián)系人信息；

獲取通話記錄；

獲取QQ和微信的應(yīng)用數(shù)據(jù)；

獲取設(shè)備曾接入過(guò)的wifi熱點(diǎn)信息和對(duì)應(yīng)的密碼；

獲取Email信息和相關(guān)的賬號(hào)/密碼；

獲取地理位置信息；

獲取應(yīng)用安裝列表，包括用戶安裝應(yīng)用和系統(tǒng)應(yīng)用；

獲取SIM卡信息；

開啟反向shell，連接遠(yuǎn)程服務(wù)器；

下載文件并存放到指定目錄；

刪除攻擊者指定的文件或目錄；

開啟飛行模式；

上報(bào)外部存儲(chǔ)的文件和目錄結(jié)構(gòu)；

列出攻擊者指定的目錄的內(nèi)容；

根據(jù)攻擊者指定的文件類型和大小檢索文件；

根據(jù)指定的MD5值在外部存儲(chǔ)上檢索文件；

上傳指定文件到C&C服務(wù)器；

使用感染設(shè)備撥打攻擊者指定的電話號(hào)碼；

錄音并通過(guò)建立的網(wǎng)絡(luò)Socket上傳錄音文件；

重復(fù)下載、刪除大文件，消耗用戶流量

xRAT“間諜軟件”還包含自我刪除功能，它的開發(fā)者會(huì)檢測(cè)設(shè)備上的反病毒應(yīng)用，并預(yù)警攻擊者，主要檢測(cè)的反病毒應(yīng)用類型有：

△    管家 (housekeeper)	△    清理 (Cleanup)
△    安全 (safety)	△    殺毒 (Antivirus)
△    權(quán)限 (Authority)	△    Defender
△    衛(wèi)士 (Guardian)	△    Security

此外，xRAT”間諜軟件”還有強(qiáng)大的文件刪除功能，能刪除感染設(shè)備上的大部分內(nèi)容或攻擊者指定的文件，xRAT能遠(yuǎn)程指定的刪除操作有：

刪除SDCard上的照片文件；

刪除SDCard上的音頻文件；

清空設(shè)備，刪除大部分內(nèi)容，包括SDCard上的所有內(nèi)容，/data/data下的應(yīng)用和數(shù)據(jù)，以及/system/app下的系統(tǒng)應(yīng)用；

刪除指定的輸入法應(yīng)用，如QQ拼音、搜狗輸入法等；

刪除指定的社交應(yīng)用，如微信、QQ、易信、Whatsapp等。

4、利用CVE-2015-3878漏洞的“間諜軟件”

17年12月，Android MediaProjection 服務(wù)被曝高危漏洞（CVE-2015-3878），馬上便有惡意開發(fā)者利用該漏洞開發(fā)惡意軟件竊取用戶信息。

MediaProjection服務(wù)是Google在Android 5.0中引入的，可以讓應(yīng)用開發(fā)者獲取屏幕內(nèi)容和記錄系統(tǒng)音頻。在Android5.0之前，應(yīng)用開發(fā)者需要應(yīng)用在 root權(quán)限下運(yùn)行或者用設(shè)備的release key對(duì)應(yīng)用進(jìn)行簽名，只有這樣才可以使用系統(tǒng)保護(hù)的權(quán)限來(lái)獲取屏幕內(nèi)容。而Android5.0在引入了 MediaProjection服務(wù)后，應(yīng)用只需通過(guò)intent請(qǐng)求系統(tǒng)服務(wù)的訪問(wèn)權(quán)限，且不需要在 AndroidManifest.xml中聲明請(qǐng)求的權(quán)限。對(duì)系統(tǒng)服務(wù)的訪問(wèn)是通過(guò)SystemUI的彈窗來(lái)提示用戶，讓用戶決定是否對(duì)想要獲取屏幕內(nèi)容的應(yīng)用授權(quán)。攻擊者可以用偽裝消息來(lái)覆蓋SystemUI的彈窗提示，誘使用戶點(diǎn)擊并授權(quán)攻擊者的應(yīng)用獲取屏幕內(nèi)容。

此次發(fā)現(xiàn)的惡意程序啟動(dòng)后隱藏圖標(biāo)，后臺(tái)靜默運(yùn)行，利用屏幕錄制漏洞（CVE-2015-3878）針對(duì)安卓5.0-6.0系統(tǒng)的手機(jī)進(jìn)行屏幕截圖，并使用進(jìn)程保護(hù)技術(shù)，竊取用戶隱私，接收指定地址發(fā)送的控制指令。該程序主要行為如下：

隱藏程序圖標(biāo)，欺騙用戶隱藏行蹤；

通過(guò)屏幕錄制漏洞對(duì)屏幕持續(xù)截圖并上傳；

攔截短信，竊取用戶WiFi密碼等信息上傳到指定服務(wù)器；

獲取指定服務(wù)區(qū)下發(fā)的指令進(jìn)行遠(yuǎn)程控制。

5、“雙尾蝎”最新“間諜軟件”GnatSpy

17年12月，趨勢(shì)科技的安全研究人員發(fā)現(xiàn)一款新型移動(dòng)惡意軟件“GnatSpy”，據(jù)分析推測(cè)該惡意軟件與臭名昭著的威脅組織APT-C-23（“雙尾蝎”）有關(guān)。研究人員認(rèn)為，GnatSpy是“雙尾蝎”常用的VAMP移動(dòng)惡意軟件的變種，且比VAMP更加危險(xiǎn)。此前360威脅情報(bào)中心發(fā)布報(bào)告指出，2016年 5月至2017年3月，“雙尾蝎”組織瞄準(zhǔn)中東地區(qū)，對(duì)巴勒斯坦教育機(jī)構(gòu)、軍事機(jī)構(gòu)等重要領(lǐng)域展開了有組織、有計(jì)劃、有針對(duì)性的長(zhǎng)時(shí)間不間斷攻擊，攻擊平臺(tái)主要包括Windows 與 Android。

GnatSpy的功能與VAMP的早期版本類似，但是GnatSpy添加了更多接收端和服務(wù)，賦予這款惡意軟件更多功能和模塊化設(shè)計(jì)，且新變種還大大增加了對(duì)Java注解和反射方法的運(yùn)用，以規(guī)避檢測(cè)。GnatSpy還能從被感染的設(shè)備獲取更多信息，包括SIM卡狀態(tài)、電池、內(nèi)存和存儲(chǔ)使用情況。

研究人員表示，目前尚不清楚該組織如何將惡意文件傳播給受害者。一種猜測(cè)是，“雙尾蝎”組織將這些文件偽裝“安卓設(shè)置”或“Facebook更新”這類應(yīng)用發(fā)送給用戶，讓用戶誤以為這些文件是合法的成更新并下載安裝在自己的設(shè)備上。研究人員稱并未發(fā)現(xiàn)大量的此類應(yīng)用，這說(shuō)該組織的攻擊限于具有針對(duì)性的特定組織或個(gè)人。

6、Skygofree”間諜軟件”家族

18年1月，卡巴斯基實(shí)驗(yàn)室發(fā)布了一款強(qiáng)大的安卓監(jiān)控軟件Skygofree的分析報(bào)告，并認(rèn)為它出自活躍在監(jiān)控軟件市場(chǎng)上的一家意大利IT公司。自 2014 年以來(lái)，安卓惡意軟件 Skygofree 暗中增長(zhǎng)了很多新功能，包括使用設(shè)備麥克風(fēng)進(jìn)行基于位置的錄音、使用Android Accessibility Services 竊取 WhatsApp 消息，以及將受感染設(shè)備連接到受攻擊者控制的惡意 Wi-Fi 網(wǎng)絡(luò)等。目前Skygofree主要通過(guò)假冒移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商的網(wǎng)絡(luò)作為傳播途徑。

圖 Skygofree的發(fā)展時(shí)間線

去年10月，Skygofree“間諜軟件”的最新變種可以通過(guò)漏洞root受害者設(shè)備，并開啟反向shell，接收來(lái)自C&C服務(wù)的控制指令，讓黑客可以完全遠(yuǎn)程控制受感染的安卓手機(jī)，竊取用戶隱私數(shù)據(jù)。Skygofree”間諜軟件”的運(yùn)行流程如下：

Skygofree“間諜軟件”的主要能力和服務(wù)如下：

記錄音頻并將文件上傳到遠(yuǎn)程服務(wù)器；

當(dāng)用戶位于某個(gè)地理位置時(shí)記錄周遭音頻；

通過(guò)運(yùn)動(dòng)檢測(cè)追蹤位置；

GSM追蹤 (CID、LAC、PSC)；

竊取手機(jī)剪貼板數(shù)據(jù)；

鍵盤記錄功能；

搜索文件并將被盜文件上傳到遠(yuǎn)程服務(wù)器；

Skygofree 可經(jīng)由 HTTP、XMPP、二進(jìn)制 SMS 和 FirebaseCloudMessaging協(xié)議控制；

創(chuàng)建一個(gè)新的 WiFi 連接并強(qiáng)迫用戶手機(jī)連接。該功能通過(guò)強(qiáng)迫手機(jī)和網(wǎng)絡(luò)連接，讓位于同一網(wǎng)絡(luò)的人員執(zhí)行中間人流量嗅探攻擊；

能將自己添加到華為設(shè)備的“受保護(hù)Apps”列表上。這個(gè)列表中的 app 能允許在手機(jī)屏幕關(guān)閉的情況下繼續(xù)運(yùn)行；

向受感染設(shè)備發(fā)送命令的反向shell；

包含 root利用 (CVE-2013-2094、CVE-2013-2595、CVE-2013-6282、CVE-2014-3153和CVE-2015-3636)，來(lái)源于github開源項(xiàng)目android-rooting-tools；

能從即時(shí)消息 app 如 Line、Viber、WhatsApp、Facebook和 Facebook Messenger 中提取數(shù)據(jù)；

包含一個(gè)唯一利用，能使用Android Accessiblity 服務(wù)讀取展示在WhatsApp 用戶屏幕上的會(huì)話；

服務(wù)名稱	目的
AndroidAlarmManager	上傳最后錄制的.amr音頻
AndroidSystemService	聲音錄制
AndroidSystemQueues	運(yùn)動(dòng)檢測(cè)的位置跟蹤
ClearSystems	GSM跟蹤（CID，LAC，PSC）
ClipService	剪貼板偷
AndroidFileManager	上傳所有已滲透的數(shù)據(jù)
AndroidPush	XMPP C＆C協(xié)議（url.plus:5223）
RegistrationService	通過(guò)HTTP注冊(cè)C＆C（url.plus/app/pro/）
……

三、迅猛增長(zhǎng)的商業(yè)“間諜軟件”

在惡意”間諜軟件”層出不窮的同時(shí)，Android平臺(tái)的商業(yè)”間諜軟件”應(yīng)用的增長(zhǎng)也非常迅猛，這類應(yīng)用大部分都定位為家長(zhǎng)控制（parental control）、手機(jī)定位找回等工具，但其實(shí)際功能與惡意”間諜軟件”相差無(wú)幾，甚至更為強(qiáng)大。用戶甚至不用專門去暗網(wǎng)或地下論壇，直接在搜索引擎或應(yīng)用市場(chǎng)上搜索關(guān)鍵詞“android spy app、手機(jī)定位等”就能找到很多類似的應(yīng)用程序。

3.1 商業(yè)”間諜軟件”的基本特點(diǎn)

幾乎所有的商業(yè)”間諜軟件”應(yīng)用程序都是需要用戶手動(dòng)地安裝到目標(biāo)的設(shè)備上，這也是這類商業(yè)“間諜軟件”與傳統(tǒng)的惡意”間諜軟件”的根本差別所在。用戶必須手工的下載應(yīng)用程序、安裝并輸入購(gòu)買后獲取到的激活憑證來(lái)運(yùn)行應(yīng)用。在此之后，安裝的間諜應(yīng)用程序就從設(shè)備上隱身了，整個(gè)安裝通常只需要幾分鐘的事件。其中一些商業(yè)“間諜軟件”還會(huì)利用設(shè)備的管理權(quán)限在目標(biāo)手機(jī)上獲得持久性和自我保護(hù)功能。

   

3.2 商業(yè)“間諜軟件”與惡意“間諜軟件”的功能對(duì)比

根據(jù)對(duì)市面上主流的商業(yè)“間諜軟件”進(jìn)行調(diào)查統(tǒng)計(jì)，大多數(shù)商業(yè)化間諜軟都具有以下幾種功能：

竊取短信信息；

竊取電話信息（日志/錄音）；

GPS跟蹤；

竊取瀏覽器數(shù)據(jù)（歷史記錄/書簽）；

竊取手機(jī)上存儲(chǔ)的照片/視頻；

竊取通訊錄信息（包括電子郵件地址，甚至照片）

如果您對(duì)上述這些功能還沒(méi)有什么概念的話，我們不妨對(duì)比一下Android平臺(tái)上流行的商業(yè)”間諜軟件”與之前介紹的惡意”間諜軟件”的實(shí)際功能。

通過(guò)對(duì)比可以看出，Android平臺(tái)上流行的商業(yè)“間諜軟件”和臭名昭著的惡意“間諜軟件”的功能并沒(méi)有太大的差別。

3.3 商業(yè)”間諜軟件”的危害

       雖然商業(yè)“間諜軟件”都標(biāo)榜自己有這合理的使用場(chǎng)景，目的給有需要的用戶提供合法的幫助，但是很多商業(yè)“間諜軟件”都存在被濫用的可能。一方面，”間諜軟件”的濫用可能惡化家庭成員或組織成員間的關(guān)系，這不僅侵犯了被監(jiān)控人的隱私，而且可能引起暴力事件；另一方面，由于一些商業(yè)”間諜軟件”的開發(fā)者安全意識(shí)不夠，將獲取的用戶隱私數(shù)據(jù)簡(jiǎn)單的存儲(chǔ)在服務(wù)器上。那些原本是想要監(jiān)視他們的家庭、親人、孩子或下屬的私生活而安裝”間諜軟件”的人，他們不知道的是，這些信息被上傳到服務(wù)器上后，還可能夠被其他人獲得，造成數(shù)據(jù)泄露或其他不愉快的后果；最后，由于很多”間諜軟件”需要root權(quán)限，在設(shè)備上安裝這樣的應(yīng)用程序，會(huì)增大感染惡意軟件的風(fēng)險(xiǎn)，對(duì)我們的手機(jī)安全造成影響。

四、坊間流傳甚廣的RAT制作工具

在惡意“間諜軟件”和商業(yè)“間諜軟件”迅猛增加的同時(shí)，很多Android RAT工具也擴(kuò)散開來(lái)。 RAT意即遠(yuǎn)程訪問(wèn)木馬，指的一種特殊的惡意軟件通過(guò)一個(gè)客戶端組件感染用戶電腦，隨后與服務(wù)器開始通信，允許攻擊者從目標(biāo)竊取數(shù)據(jù)、對(duì)用戶實(shí)施監(jiān)控、甚至是控制用戶電腦。RAT一直是黑市上非常吃香的的搶手貨，其中Android RAT主要有DroidJack、SpyNote、AndroidRAT 、dendroid、DarkComet和OmniRAT等，品類繁多，功能齊全，這類工具一般售價(jià)在幾十到幾百美元之間。然而，不少RAT工具被破解之后在網(wǎng)上大肆流傳，各式的破解版和教程隨處可見(jiàn)。

這類RAT工具一般使用都十分簡(jiǎn)單，以Spynote為例，只需簡(jiǎn)單幾個(gè)步驟你就可以制作一個(gè)“間諜軟件”并實(shí)施監(jiān)控了。

步驟1、打開Spynote工具，指定端口號(hào)；

步驟2、選擇Tools—Build來(lái)創(chuàng)建APK，設(shè)置相關(guān)參數(shù)，Port：外網(wǎng)端口、Host：外網(wǎng)IP、APK的包名、服務(wù)名和版本號(hào)，填寫完畢后點(diǎn)擊Build即可創(chuàng)建。

步驟3、將生成的APK發(fā)送至目標(biāo)手機(jī)，手機(jī)安裝運(yùn)行后即可上線，且SpyNote生成的APK在設(shè)備上會(huì)自動(dòng)隱藏。

SpyNote的功能強(qiáng)大， 主要功能有：

可以生成一個(gè)APK，綁定在被控手機(jī)的任何APP上

可在電腦端控制手機(jī)，包括瀏覽、傳輸、刪除文件等

可進(jìn)行SMS短信收發(fā)和查看功能

可以控制手機(jī)的電話功能

聯(lián)系人管理

麥克風(fēng)監(jiān)聽(tīng)

GPS定位

APP管理

文件管理

查看手機(jī)系統(tǒng)信息

命令行控制

其他的RAT基本與Spynote大同小異，此類RAT的泛濫勢(shì)必會(huì)導(dǎo)致Android”間諜軟件”的增長(zhǎng)，對(duì)我們的隱私安全造成極大的危害。

五、移動(dòng)端間諜軟件的迅猛發(fā)展給網(wǎng)絡(luò)安全帶來(lái)的新挑戰(zhàn)

在過(guò)去的2017年，“影子經(jīng)濟(jì)人”在網(wǎng)上公布多款NSA（美國(guó)國(guó)家安全局）網(wǎng)絡(luò)武器庫(kù)的攻擊武器，隨后，使用了“永恒之藍(lán)”漏動(dòng)的勒索病毒“WannaCry”就橫掃全球，給很多國(guó)家、組織和人民造成了巨大的損失，以一種震撼的方式展示了這些網(wǎng)絡(luò)攻擊武器的可怕。在移動(dòng)互聯(lián)網(wǎng)迅速發(fā)展的今天，網(wǎng)絡(luò)安全較傳統(tǒng)的PC時(shí)代的網(wǎng)絡(luò)安全發(fā)生了較為深刻的變化，移動(dòng)端間諜軟件的泛濫也給我們用戶、企業(yè)和國(guó)家?guī)?lái)了更多新的挑戰(zhàn)：

1、對(duì)終端用戶來(lái)講，由于移動(dòng)設(shè)備與我們的日常生活日益緊密，移動(dòng)端間諜軟件的入侵，不僅能竊取我們的隱私，獲取我們的敏感數(shù)據(jù)，還能監(jiān)控我們的日常生活，切實(shí)給我們的人身安全和財(cái)產(chǎn)安全帶來(lái)的極大的威脅；

2、對(duì)企業(yè)和組織來(lái)講，移動(dòng)互聯(lián)網(wǎng)的發(fā)展增大其遭受攻擊的可能，功能強(qiáng)大的移動(dòng)端間諜軟件能通過(guò)移動(dòng)設(shè)備入侵企業(yè)內(nèi)網(wǎng)，訪問(wèn)企業(yè)的服務(wù)器，進(jìn)而竊取數(shù)據(jù)或執(zhí)行更具破壞性的操作，給企業(yè)的正常運(yùn)行帶來(lái)危害；

3、對(duì)國(guó)家網(wǎng)絡(luò)安全來(lái)講，一些能力強(qiáng)大的間諜軟件開發(fā)組織將手中的間諜軟件作為網(wǎng)絡(luò)武器出售給其他國(guó)家、地區(qū)執(zhí)法機(jī)構(gòu)以及獨(dú)裁政權(quán)，給國(guó)家的網(wǎng)絡(luò)安全也帶來(lái)了很大的安全挑戰(zhàn)。

間諜軟件在危害巨大的同時(shí)，其檢測(cè)和預(yù)防上也存在不少難點(diǎn)：

1、間諜軟件的目標(biāo)通常比較明確，受害用戶范圍小，對(duì)安全軟件來(lái)說(shuō)，比較難以覆蓋；

2、部分功能強(qiáng)大的間諜軟件會(huì)利用0 day漏洞進(jìn)行感染和作惡，很難有效預(yù)防；

3、間諜軟件傳播渠道多種多樣，各種技術(shù)手段和社工方式并存，難以進(jìn)行有效防范；

4、間諜軟件一般具有很高的隱蔽性，且部分間諜軟件有智能的自毀功能，能檢查宿主設(shè)備環(huán)境或接收遠(yuǎn)程指令進(jìn)行自毀并清理痕跡，躲避安全軟件的檢測(cè)。

六、應(yīng)對(duì)措施和防護(hù)建議

間諜軟件的泛濫給我們的隱私和財(cái)產(chǎn)安全帶來(lái)的極大的挑戰(zhàn)，商業(yè)間諜軟件的濫用也可能激化組織或家庭成員之間的矛盾。如何有效的防范”間諜軟件”的侵襲是一個(gè)十分重要的問(wèn)題，為應(yīng)對(duì)未來(lái)嚴(yán)峻的安全挑戰(zhàn)，騰訊安全已推出自研AI反病毒引擎——騰訊TRP引擎，TRP引擎通過(guò)對(duì)系統(tǒng)層的敏感行為進(jìn)行監(jiān)控，配合能力成熟的AI技術(shù)對(duì)應(yīng)用行為的深度學(xué)習(xí)，能有效識(shí)別”間諜軟件”的風(fēng)險(xiǎn)行為，并實(shí)時(shí)阻斷惡意行為，為用戶提供更高智能的實(shí)時(shí)終端安全防護(hù)。

針對(duì)惡意軟件開發(fā)者，騰訊反詐騙實(shí)驗(yàn)室基于海量的樣本APK數(shù)據(jù)、URL數(shù)據(jù)和手機(jī)號(hào)碼黑庫(kù)建立了神羊情報(bào)系統(tǒng)，可以根據(jù)惡意”間諜軟件”的惡意行為、傳播URL和樣本信息進(jìn)行聚類分析，溯源追蹤惡意軟件背后的開發(fā)者，予以精確打擊，保護(hù)廣大用戶免受惡意軟件侵害。

同時(shí)，為盡可能的避免”間諜軟件”的危害，我們也給用戶提出了以下幾條防護(hù)建議：

1、不要安裝非可信渠道的應(yīng)用和點(diǎn)擊可疑的URL；

2、手機(jī)設(shè)置安全鎖，如PIN碼、手勢(shì)或密碼等，防止其他人非法接觸你的設(shè)備；

3、及時(shí)進(jìn)行安全更新；

4、安裝手機(jī)管家等安全軟件，實(shí)時(shí)進(jìn)行保護(hù)。