MonitorMinor:超越同級的跟蹤程式

較早前卡巴斯基佈下的 Android 陷阱,捕捉到一款包裝作家長監控的商業軟件,但同時包含偷偷監視親人或同事的功能,換言之,其實是一款跟蹤程式 (Stalkerware),並發現它擁有的功能已超越現時的同類型程式。

現代的跟蹤程式
跟蹤程式最常見的功能是傳轉受害者現時的位置資料,由於有不少特別的網絡資源可用作顯示位置,而且只是幾行編碼,所以有不少同類型的程式。製作者通常使用地理圍欄 (geofencing) 技術,當受害人移動離開或進入指定區域便會發送通知,在某些例子中,也會加入攔截 SMS 和通話資料 (間諜軟件具備記錄功能較為罕見) 到位置資料傳輸之中。

但是現代人 SMS 通常只用作接收一次性密碼,短訊通話已接近被即時通訊軟件取代,連帶傳統的語音通話也逐漸被減少運用,所以軟件具備追蹤或監視功能的話也必需具備攔截通訊軟件的訊息功能,而 MonitorMinor 就是以追蹤為目標的程式中罕有地具備此功能的樣本。

MonitorMinor 的功能
在「清潔」的 Android 操作系統內,沙盒 (sandbox) 防止了應用程式之間的直接溝通,所以跟蹤程式不用簡單地取得直接存取 Whatsapp 之類的即時通訊軟件,這種存取模式稱為 DAC (Discretionary Access Control),只要用戶和該應用程式自己,能夠存取該應用程式儲存在系統上的檔案。

但是情況會隨著安裝了「超級用戶型」(SU utility) 應用程式而改變,它會取得系統的 Root 存取權限,它怎樣被安裝並不重要,可以是出廠時、用戶自己或經由惡意程式安裝,重點是它令系統重要的保安機制失去原有效用。

在 MonitorMinor 的身上以此方法取得超級權限,令它能存取以下應用程式的資料:
– Line   - Gmail   - Zalo   - Instagram   - Facebook
– Kik       – Hangouts     – Viber       – Hike News & Content
– Skype  - Snapchat     – JusTalk      – BOTIM

換言之,所有最常見的現代通訊工具都包含在內。

取得裝置開鎖密碼
MonitorMinor 的功能並鈈限於攔截社交平台或通訊軟件的資料,利用 Root 的權限,能解開裝置內的檔案 /data/system/gesture.key,它記錄了解鎖裝置的密碼或模式,讓 MonitorMinor 的操作者在接近或物理上接觸裝置時,能夠把裝置解鎖,是監察流動平台威脅以來首次發現的功能。

正常工具無法移除
當 MonitorMinor 取得 Root 存取權限,便會重新掛載系統間隔,由唯讀轉成讀寫模式,再把自己複製,並從用戶間隔中自我刪除,然後重新掛載成唯讀模式,如此一來,正常的操作系統工具就無法把 MonitorMinor 移除。雖然並非所有裝置都有升級權限的選項,而沒有 Root 的話會被視作軟件效能較低,但這並不適用於 MonitorMinor。

Android 是一個非常友善的系統,尤其對傷健人士的支援,只要有 Accessibility Services API,手機就能朗讀在應用程式視窻上的訊息或其他文字,更能即時架設在智能電話螢幕顯示之上,包括輸入位置、按鍵和名稱等等,跟蹤程式就是利用這個 API 去攔截上述應用程式的內容,所以即使沒有 Root 權限,MonitorMinor 仍然能在所有具備 Accessibility Services 的裝置上有效地運作 (即是大部份裝置)。

這個 API 內具備了鍵盤記錄 (keylogger) 功能,所以 MonitorMinor 的魔爪並不限於社交媒體或通訊程式,所有受害者輸入的文字都會自動傳送到 MonitorMinor 的伺服器,這應用程式也會監視剪貼板的內容並進行轉發,除此之外,這個應用程式讓操作者能夠進行以下動作:
– 透過 SMS 指令控制裝置
– 透過裝置上的攝錄鏡頭觀看即時影像
– 透過裝置的咪高峰記錄聲音
– 查看 Chrome 的瀏覽紀錄
– 查看不同應用程式的使用統計
– 查看裝置內部儲存的內容
– 查看聯絡清單
– 查看系統記錄

傳播範圍
根據 KSN 的統計,印度現時有全球最高安裝數量 (14.71%),而且有印度名稱的 Gmail 帳號也內建在 MonitorMinor 之內,這個似乎是原產地的線索,但同時也發現到有土耳其文和英文的控制台。排行第二的國家是墨西哥 (11.76%),緊隨其後是德國、沙地阿拉伯和英國 (5.88%)。

超級跟蹤程式
MonitorMinor 明顯比其他跟蹤程式高明,除了跟蹤之外還具備其他用途,它擁有所有追蹤功能,部份更是獨一無二而且接近無法在受害者裝置上偵測,如果擁有 Root 存取權限,操作者可以擁有更多選擇,例如隨時觀看受害者在社交媒體上的活動,而根據研究所示,製作人似乎已察覺到有反跟蹤程式存在而試圖與它對抗。

盡管在網站上清楚列明應用程式不許用作隱藏的監視用途,並警告在某些國家可能違反當地法律,雖然表面上當用戶干犯法例時網站可能會向執法部門提供資料,但另一方面,以上訊息並不是有效防止潛在受害人被跟蹤的措施。

資料來源:Securelist