针对国内用户，QQ、微信等40多款应用都被这个间谍软件监视了

PingWest品玩7月10日 道，近日，安全公司Palo Alto Networks研究人员 告了一款名为SpyDealer的安卓恶意程序，该恶意程序设计窃取包括QQ、微信等在内的40多款热门应用的数据，主要针对国内用户。研究人员称，有证据显示该恶意程序能够通过被入侵的无线 络感染安卓手机。当SpyDealer成功感染后，它会利用Baidu Easy Root工具获取设备的root权限，然后通过Android Accessibility Service功能，从应用中大量获取包括IMEI、IMSI、SMS、MMS、联系人、账 、呼叫历史、位置、连接的WiFi信息等用户信息。

另外，该恶意程序还能够自动响应特定 码，通过UDP、TCP和SMS渠道远程控制设备，利用麦克风和摄像头记录音频和视频信息，并且能够进行屏幕截图。该恶意程序能够从40多款应用中获取个人信息，这些应用包括微信、QQ、新浪微博、QQ邮箱、 易邮箱、淘宝、百度 盘、手机YY等国内热门应用。

SpyDealer最早现身于2015年，目前仍然在更新，最新版本在5月份释放出来。

扩展阅读：

Palo Alto Networks的安全专家发现一款新的Android木马，取名为SpyDealer，它能够窃取多达40款应用的数据，包括相当一部分微信、QQ、新浪微博、易信、飞信等用户群为中国人的应用，因此针对的主要是中国用户。病毒进入手机后会对手机进行root，root的成功率达25%，但即便无法成功root，它也可以通过其他手段收集数据。

“Palo Alto Networks的研究人员找到一款高级的Android恶意软件，我们把它命名为SpyDealer，它能够提取超过40款应用下的隐私信息，通过Android辅助功能窃取通讯软件中的隐私信息。SpyDealer会使用一款商业root软件获取root权限，通过它来进行随后的数据窃取。”Palo Alto Networks的分析称。

https://researchcenter.paloaltonetworks.com/2017/07/unit42-spydealer-android-trojan-spying-40-apps/

多重手段窃取隐私

这个所谓的“商业root软件”就是Baidu Easy Root。依托这款root软件，SpyDealer木马可以攻击的Android版本从2.2到4.4（涵盖25%的Android设备），可以说适配的范围非常广了。

root的目的有两个，一是驻足手机，二是更方便地窃取信息。

root手机后，恶意软件会注册两个广播接收器，接收设备启动以及 络连接状态变化的事件。

第一次运行时，恶意软件会从本地一个叫readme.txt的文件中获取配置信息，配置信息包括C&C IP地址信息、移动数据 络下做什么，Wi-Fi 络下做什么等。这份文件可以远程更新。

攻击者可以通过UDP, TCP和短信三种渠道作为C&C远程控制感染的Android设备，支持的命令超过50种。

注册了优先级比默认短信更高的广播接收器，SpyDealer就能监听用户收到的短信。

短信指令

另外，感染设备后，SpyDealer会在39568端口创建TCP服务器，用来通过UDP或TCP向远程服务器请求指令。

TCP指令

SpyDealer木马能够从目标设备收集大量信息，包括手机 、IMEI、IMSI、短信、彩信、联系人、设备账 、拨 记录、位置、连接到的Wi-Fi。还可以通过指定 码接听电话，或者进行通话录音、环境录音录像、拍照、监控位置以及截屏等。

除此之外，SpyDealer在root后会读取应用的数据文件，从而收集资料，被监控的应用包括微信、Facebook、WhatsApp、Skype、Line、Viber、QQ、Tango、Telegram、新浪微博、腾讯微博、Android本地浏览器、Firefox浏览器、欧朋浏览器, QQ邮箱、 易邮箱、139邮箱、189邮箱、淘宝、百度 盘、手机 YY、易信、飞信、人人、阿里旺信、快滴打车等。从这个列表我们也可以看出这款木马针对中国用户。

有一些应用会将数据加密放入数据库文件，针对这种情况，SpyDealer会使用Android的辅助功能，从屏幕上提取文字。在root后的设备上，黑客可以直接开启这项功能，而即便病毒无法root设备，还是可以提示用户进行开启，从而进一步窃取私密数据。

辅助功能配置文件

病毒依然活跃

目前还不知道SpyDealer是通过什么方式传播的，但研究人员肯定并非通过Google Play Store传播的，对中国用户来说这并不是一个好消息，因为这样的话黑客应该使用了针对中国用户的传播方式，并且相比Google Play Store更不可控。

“截至2017年6月，我们已经捕捉到1046个SpyDealer样本。经过分析我们发现SpyDealer目前仍然在活跃更新。我们发现了三个版本：1.9.1, 1.9.2和1.9.3。自1.9.3开始，配置文件的内容和几乎所有常量字符串都经过了加密或者编码。”分析文章中称，“自1.9.3版本开始还引入了辅助功能窃取目标应用的信息。根据我们的数据，大部分的木马的应用名称都是GoogleService或者GoogleUpdate，最近的样本创建于2017年5月，而最久的可以追溯到2015年10月，也就是说SpyDealer已经存活长达18个月。”

https://researchcenter.paloaltonetworks.com/2017/07/unit42-spydealer-android-trojan-spying-40-apps/

研究人员已经向Google Play Protect提交了相关信息，不过Google Play Protect的防护机制对中国用户也没有什么卵用。