专家对黑客论坛上出售的新安卓恶意软件发出警报

网络安全研究人员揭露了一家安卓恶意软件供应商的操作，该供应商与第二个威胁参与者合作，营销并销售一种远程访问特洛伊木马（RAT），该木马能够接管设备并过滤来自Facebook、Instagram、WhatsApp、Skype、Telegram、Kik、Line等热门应用程序的照片、位置、联系人和消息，还有谷歌留言。

那个叫“小贩”的小贩三角“根据Check Point Research今日发布的一份分析报告，在多个darknet论坛上，被指控是一名25岁的印度裔男子，此人三年前于2017年6月10日开店销售该恶意软件。

研究人员说：“该产品是一款移动RAT，针对Android设备，能够从C&C服务器中过滤敏感数据，破坏本地数据，有时甚至删除整个操作系统。”。

活跃的地下移动恶意软件市场

这家网络安全公司拼凑了Triangulum的活动轨迹，称恶意软件开发商—；除了为老鼠做宣传—；2017年9月，他还寻找潜在投资者和合作伙伴，在出售恶意软件之前展示该工具的功能。

随后，据信Triangulam已退出电网约一年半，在黑暗中没有任何活动迹象，但在2019年4月6日重新露面，推出了另一款名为“Rogue”的产品，这一次是与另一名为“Rogue”的对手合作推出的六边形开发“世卫组织专门研发基于Android的老鼠。

Check Point注意到Triangulam之前购买了HeXaGoN Dev提供的多个恶意软件产品，并表示Triangulam在不同的darknet论坛上发布了其产品的广告，其中有精心设计的信息图，列出了RAT的全部功能。此外，HeXaGoN Dev还冒充潜在买家，以吸引更多客户。

虽然2017年的产品终身订阅价格为60美元，但供应商在2020年转向了一种更具财务可行性的模式，对流氓恶意软件收取30美元（1个月）至190美元（永久访问）的费用。

有趣的是，在Triangulum拒绝在该产品的论坛帖子上分享演示视频后，Triangulum向俄罗斯黑暗市场扩张的尝试遭到了失败。

从宇宙到黑暗到无赖

Rogue（v6.2）和#8212；这似乎是名为Dark Shades（v6.0）的恶意软件的最新版本，该软件最初由HeXaGoN Dev出售，2019年8月被Triangulam收购—；它还具有第二个名为Hawkshaw的恶意软件家族的功能，其源代码于2017年公开。

研究人员说：“Triangulum并不是从零开始开发这项发明的，他从开源和黑暗两个世界获取了可用的东西，并将这些组件结合起来。”。

事实证明，暗影是Cosmos的“高级继承者”，Cosmos是HeXaGoN Dev actor出售的另一只老鼠，因此Cosmos的出售是多余的。

Rogue在市场上被称为“无需计算机（sic）即可执行具有难以置信功能的命令的老鼠”，具有使用控制面板或智能手机远程控制受感染客户端的附加功能。

事实上，RAT拥有广泛的功能，可以控制主机设备，过滤任何类型的数据（如照片、位置、联系人和消息），修改设备上的文件，甚至下载其他恶意有效载荷，同时确保用户授予入侵权限以执行其邪恶活动。

它还通过对用户设备隐藏图标来阻止检测，通过利用可访问性功能记录用户操作来绕过安卓安全限制，并注册自己的通知服务来监听感染手机上弹出的每个通知。

此外，该工具还内置了隐形功能。Rogue使用谷歌的Firebase基础设施作为指挥与控制（C2）服务器来掩饰其恶意意图，滥用平台的云消息功能来接收来自服务器的命令，并使用实时数据库和云Firestore从受害者设备上传聚集的数据和文档。

Rogue Suffered a Leak in April 2020

ESET研究员卢卡斯·斯特凡科（Lukas Stefanko）在去年4月20日的一条推文中表示，流氓安卓僵尸网络的后端源代码已在一个地下论坛上发布，并指出“它存在很多安全问题”，“这是对Dark Shades V6.0（同一个开发者）的新命名。”

但尽管有泄漏，Check Point的研究人员指出，Triangulam团队仍然在演员的家庭黑暗论坛上收到感兴趣的客户的信息。

Check Point的网络研究负责人亚尼夫·巴尔马斯说：“移动恶意软件供应商在黑暗网络上变得越来越足智多谋。我们的研究让我们一窥黑暗网络的疯狂：恶意软件是如何演变的，以及现在以有效的方式跟踪、分类和防范它们有多困难。”。

“地下市场在某种意义上仍然像狂野的西部，这使得人们很难理解什么是真正的威胁，什么不是。”