全球最权威的监控软件 FlexiSPY 被黑,相关源码、编译、文档被泄漏

发布时间: 2017-04-24

4月22日,黑客FlexiDie公布了大量来自监控软件厂商FlexiSPY的文件,泄露的文件包括源码和一些内部文档。

这家监控公司其实是一家总部位于泰国(一说位于香港)的小公司,官网显示其主要的目标客户包括希望监控员工的老板、想要监控孩子手机的父母,还有想要监控伴侣的夫妻,第三类客户显然是最多的。《福布斯》今年2月曾对这类监控软件进行过报道,报道指出,在2015年妇女援助组织对693名妇女的调查中,有29%的受访者表示,他们的手机或电脑上曾被伴侣或者前任安装间谍软件或GPS定位器。

但FlexiSPY的客户可不止官网上宣传的这些。此次遭泄密的文件还显示,旗下的监控软件还出售给了土耳其、沙特阿拉伯和巴林政府。

FlexiSPY还与其他监控软件厂商存在一定的联系,FlexiSPY软件可能还被用在了另一款由Gamma公司开发的软件中,这家公司是英德监控公司。

根据泄露的文档, FlexiSPY的工作人员曾协助Gamma工作人员安装软件“Cyclops”,这款软件被用在Gamma自己的监控程序FinSpy上。

Gamma在2012年将FinSpy卖给巴林政府。2015年,有证据显示包括埃及,沙特阿拉伯,土库曼斯坦和委内瑞拉在内的国家政府使用这些监控软件。维基解密SpyFiles系列声称,FinSpy被用来监视“记者,活动家和政治异议人士”。2014年,一名黑客入侵了Gamma International内网,公开了40GB的内部文档和恶意程序源代码(BT种子),曾经轰动一时

监控能力

官网的信息显示,FlexiSPY能够监控的范围包括“所有电脑&Mac用户的活动”,设备涵盖“安卓、苹果, iPad, PC 和 Mac”。不过小编询问客服后了解到,FlexiSPY支持的windows系统包括Windows 7、Windows 8, 8.1和Windows 10。并且对Windows Mobile尚无支持。

FlexiSPY能够监控的内容包括:

PC端:

监控信息 & 键盘录入

Webmail

Webmail 截图

键盘记录

Skype

LINE

QQ

Yahoo Messenger

Hangouts

Trillian

Viber

AIM

iMessage

微信

监控互联网 & 应用程序

已经浏览过的网页

浏览器历史记录

浏览器视频

应用程序使用

已安装的应用程序

监控网络 & 打印情况

监控网络连接

监控打印机使用情况

监控文档活动和用户

文档活动信息

文件传输

U盘连接

桌面屏幕截图

监控用户登录/登出

什么时间锁屏

远程监控

远程卸载软件

远程注销软件

远程更改软件功能

秘密监控

在开始菜单里隐藏软件

从系统托盘中隐藏软件

从任务管理器中隐藏软件

显示/隐藏软件图标

阻止软件被卸载

通过安全密钥组合访问

移动端:

Facebook, LINE, Viber, 微信, Skype, iMessage, 短信, BBM, WhatsApp, KIK

通话记录、通讯簿、便签、日历;

照片、视频、音乐、壁纸;

应用程序、书签、网页历史记录、位置。

监听和记录通话内容;

控制麦克风和摄像头;

恶搞工具。

但值得一提的事,安装FlexiSPY必须有操作那些设备的物理权限,软件不能远程安装。

泄露软件分析

IOC

下面的这些URL和字符串都是给反病毒厂商做分析的,用于识别设备有没有被感染。

URL

http://58.137.119.229/RainbowCore/ (发现在com.vvt.phoenix.prot.test.CSMTest中)

http://trkps.com/m.php?lat=%f&long=%f&t=%s&i=%s&z=5” (发现在source//location_capture/tests/location_capture_tests/src/com/vvt/locationcapture/tests/Location_capture_testsActivity.java:)

有一个IP地址在代码中被备注了

//private String mUrl = “http://202.176.88.55:8880/

字符串

以下字符串存在于/source/phoenix/test/phoenix_demo/src/demo/vvt/phoenix/PhoenixDemoActivity.java中:

“/sdcard/pdemo/”;

http://58.137.119.229/RainbowCore/“;

http://192.168.2.116/RainbowCore/“;

“gateway/unstructured”;

/sdcard/data/data/com.vvt.im”

软件概览

以下的分析是通过逆向两款Android应用和通过检查泄密的源代码获得的。源码的版本是1.00.1,而Android应用的版本号是2.24.3和2.25.1。版本号非常重要,因为1.00.1版本只能够监控一款即时通讯软件,而2.24.3能够监控的软件多达十几款。

应用会针对设备root与否进行区别对待。如果设备被root,软件就会进行一系列操作确保能够驻足系统。还不确定软件是否有能力对未root的设备进行root操作。

监控软件支持的指令包括:录音,视频录制,电话录音(包括呼入呼出)、擦除数据,短信拦截,短信关键词监控,监控摄像头照片,通讯录,日历信息,地理位置跟踪,Gmail应用消息,除此之外,软件还有一系列插件用来监控特定的即时通讯软件。不过针对其他软件如whatsapp, snapchat可能需要在root的设备上完成。

应用程序监控

软件中的模块可以提取各种应用程序的敏感信息。 一般来说,这些应用程序数据是受到保护的,但是如果手机被root,间谍软件就可以获取任何应用程序的敏感信息。

WhatsApp

Snapchat

 

Snapchat监控插件代码

  public static String a(String arg10, String arg11) {
        String v0;
        String v1 = null;
        String[] v3 = new String[]{String.format("%s/%s/%s/%s", "/data/data", "com.snapchat.android", arg10, arg11), String.format("%s/%s/%s/%s", "/dbdata/databases", "com.snapchat.android", arg10, arg11)};
        int v4 = v3.length;
        int v2 = 0;
        while(true) {
            if(v2 < v4) {
                v0 = v3[v2];
                if(ShellUtil.b(v0)) {
                }
                else {
                    ++v2;
                    continue;
                }
            }
            else {
                return v1;
            }

            return v0;
        }

        return v1;

财务状况

Motherboard获得的一份2016年的文件称,FlexiSPY的每月收入为40万美元。据说公司创始人Atir Raihan生活奢侈,花了大部分时间来度假和聚会。

名为“离岸(offshore)”的泄露ppt显示,该公司与MossackFonseca公司(巴拿马文件背后的公司)一样都注册于塞舌尔。

而一份泄漏的表格则显示有22个国家的40多家公司曾经联系过这家公司。文件中列举的国家包括以色列,印度,中国,俄罗斯和美国,但不清楚这些公司是否购买了FlexiSPY。

遭遇文件泄漏后,FlexiSPY的用户登录门户已经下线,但是周六有人报道称它已经重新上线。

泄露文件地址:https://github.com/Te-k/flexidie

Mega网盘:

FlexiSpyOmni源码  https://mega.nz/#!AmZEjbrb!nehl_WgZAkkh9fuh_RSV8-KncLxW70eP83tEWsnq2EE

FlexiSpyOmni Binaries(flexidie)  https://mega.nz/#!hmRwCJwT!aKoKEvF29z3j4uGaSxZuBkqfdeY5ARVa-ghuYmMRhkU

FlexSpy 软件分析 http://www.cybermerchantsofdeath.com/blog/2017/04/23/FlexiSpy.html

请在下方留下您的评论.加入TG吹水群