神秘消失的意大利政府安卓监控软件 Exodus 到底长什么样？

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士团队

谷歌应用商店中的20多款应用中发现了安卓监控软件Exodus。该恶意软件被指由和意大利政府之间存在商务关系的意大利公司 eSurv 开发。

这些应用被删除，截止本文发稿前，eSurv 网站访问返回的是 404错误。该页面中引用的LinkedIn 和推特账户也不复存在，而 YouTube 账户也被清空。

SecurityWithout Boarders 公司的研究人员分析称，Exodus是一款伪装成由意大利移动运营商分发的强大的但存在缺陷的监控软件。该公司认为受感染的用户数量少说也有数百人。

这款监控软件由两个元素组成：Exodus One 和 ExodusTwo。它手机基本的是被信息如 IMEI 代码和电话号码并返回给 C&C。然而，似乎并无需进行验证：研究人员手机上安装 Exodus后，它在初次登录后立即下载 payload。

这个被激活的payload 被称之为Exodus Two。这个payload 的主要组件是 mike.jar 和用于多种不同目的的编译工具如用于处理权限提升和获取数据的 rootdaemon。

Exodus 收集提取数据的能力强大，可收集常见的详情如所安装应用、浏览历史、地址簿、Facebook 通讯录和 GPS 坐标、以及开启麦克风并实施监听、利用摄像头拍照等。它能够检索所有的 SMS 信息、从 Telegram 中提取信息以及加密密钥、从 Viber 中转储数据、通过 WhatsApp 提取日志并检索所有的媒体记录，并从 Skype 中提取日志、通讯录和信息等等不一而足。

所提取的数据通常会被 XORed，之后存储在 SD 卡上的文件夹 .lost+found 中，之后通过上传队列通过 C&C TLS 连接 ws.my-local-weather[.]com进行提取。

虽然功能强大，但 Exodus 的实现存在问题。它似乎被设计为一款针对想监控软件，但这种针对性功能要么存在问题要么未被使用。另外，某些数据获取例程需要获取root 权限。要达到这个目标，mike.jar 通过多种守护进程在受支持的应用程序的某些提取例程绑定的 TCP 端口连接至 rootdaemon。这些例程子在所有的网络接口上运行并可供和受影响设备位于同样本地网络中的任何人访问。

如果 Exodus 真的是意大利执法机构通过合同方式签订开发的监控软件，那么 Security Without Boarder 发布的报告就拉开了意大利丑闻的序幕。媒体 Motherboard询问了曾在调查中使用过监控软件的一名意大利警察特工后，该特工表示，“从法律监控角度来看是不理智的行为。使任何人都能访问且存在多个漏洞是疯狂且不理智的，甚至要比非法性更让人担忧。”

很多包括意大利在内的国家都允许执法部分在某些情况下采取特别措施，但通常不包括大规模的监控行为。但 Security Without Boarders 已证实 Exodus 中缺乏目标验证，意味着任何安装了该监控软件的用户均可遭监控。

另外，意大利数据处理监管机构发布了2018年关于拦截监管的意见，指出，“在可能的情况下，禁止在可携带式电子设备上安装计算机传感器的安全级别低于该设备的安全级别，在拦截操作过程中及结束后都是如此。”

意大利媒体报道称，监管负责人 Antonello Soro 强调称虽然目前所知甚少，但仍然表达担忧。他表示将在能力范围内开展必要调查，弄清楚事件的来龙去脉。

虽然隐私问题很重要，但也不应该忽视另外一种令人担心的事实：未通过谷歌过滤器检测的 Exodus 竟然出现在了谷歌应用商店中。Security Solutions 的负责人兼 OneSpan 公司的安全专家 Will LaSala 认为，“它再次强调了依靠谷歌或苹果检测恶意应用的想法是不安全的。消费者应当通过各种措施保护应用的安全而不是指望平台供应商增强安全。应用开发人员和部署应用的公司需要把安全性掌握在自己的手中，以确保用户得到保护。”

原文链接

https://www.securityweek.com/exodus-android-spyware-possible-links-italian-government-analyzed

本文由代码卫士编译，不代表其观点，转载请注明“转自代码卫士 www.codesafe.cn”。