4月22日,黑客FlexiDie公布了大量来自监控软件厂商FlexiSPY的文件,泄露的文件包括源码和一些内部文档。
这家监控公司其实是一家总部位于泰国(一说位于香港)的小公司,官网显示其主要的目标客户包括希望监控员工的老板、想要监控孩子手机的父母,还有想要监控伴侣的夫妻,第三类客户显然是最多的。《福布斯》今年2月曾对这类监控软件进行过报道,报道指出,在2015年妇女援助组织对693名妇女的调查中,有29%的受访者表示,他们的手机或电脑上曾被伴侣或者前任安装间谍软件或GPS定位器。
但FlexiSPY的客户可不止官网上宣传的这些。此次遭泄密的文件还显示,旗下的监控软件还出售给了土耳其、沙特阿拉伯和巴林政府。
FlexiSPY还与其他监控软件厂商存在一定的联系,FlexiSPY软件可能还被用在了另一款由Gamma公司开发的软件中,这家公司是英德监控公司。
根据泄露的文档, FlexiSPY的工作人员曾协助Gamma工作人员安装软件“Cyclops”,这款软件被用在Gamma自己的监控程序FinSpy上。
Gamma在2012年将FinSpy卖给巴林政府。2015年,有证据显示包括埃及,沙特阿拉伯,土库曼斯坦和委内瑞拉在内的国家政府使用这些监控软件。维基解密SpyFiles系列声称,FinSpy被用来监视“记者,活动家和政治异议人士”。2014年,一名黑客入侵了Gamma International内网,公开了40GB的内部文档和恶意程序源代码(BT种子),曾经轰动一时。
官网的信息显示,FlexiSPY能够监控的范围包括“所有电脑&Mac用户的活动”,设备涵盖“安卓、苹果, iPad, PC 和 Mac”。不过小编询问客服后了解到,FlexiSPY支持的windows系统包括Windows 7、Windows 8, 8.1和Windows 10。并且对Windows Mobile尚无支持。
FlexiSPY能够监控的内容包括:
PC端:
监控信息 & 键盘录入
Webmail
Webmail 截图
键盘记录
Skype
LINE
Yahoo Messenger
Hangouts
Trillian
Viber
AIM
iMessage
微信
监控互联网 & 应用程序
已经浏览过的网页
浏览器历史记录
浏览器视频
应用程序使用
已安装的应用程序
监控网络 & 打印情况
监控网络连接
监控打印机使用情况
监控文档活动和用户
文档活动信息
文件传输
U盘连接
桌面屏幕截图
监控用户登录/登出
什么时间锁屏
远程监控
远程卸载软件
远程注销软件
远程更改软件功能
秘密监控
在开始菜单里隐藏软件
从系统托盘中隐藏软件
从任务管理器中隐藏软件
显示/隐藏软件图标
阻止软件被卸载
通过安全密钥组合访问
移动端:
Facebook, LINE, Viber, 微信, Skype, iMessage, 短信, BBM, WhatsApp, KIK
通话记录、通讯簿、便签、日历;
照片、视频、音乐、壁纸;
应用程序、书签、网页历史记录、位置。
监听和记录通话内容;
控制麦克风和摄像头;
恶搞工具。
但值得一提的事,安装FlexiSPY必须有操作那些设备的物理权限,软件不能远程安装。
下面的这些URL和字符串都是给反病毒厂商做分析的,用于识别设备有没有被感染。
URL
http://58.137.119.229/RainbowCore/ (发现在com.vvt.phoenix.prot.test.CSMTest中)
“http://trkps.com/m.php?lat=%f&long=%f&t=%s&i=%s&z=5” (发现在source//location_capture/tests/location_capture_tests/src/com/vvt/locationcapture/tests/Location_capture_testsActivity.java:)
有一个IP地址在代码中被备注了
//private String mUrl = “http://202.176.88.55:8880/
字符串
以下字符串存在于/source/phoenix/test/phoenix_demo/src/demo/vvt/phoenix/PhoenixDemoActivity.java中:
“/sdcard/pdemo/”;
“http://58.137.119.229/RainbowCore/“;
“http://192.168.2.116/RainbowCore/“;
“gateway/unstructured”;
/sdcard/data/data/com.vvt.im”
以下的分析是通过逆向两款Android应用和通过检查泄密的源代码获得的。源码的版本是1.00.1,而Android应用的版本号是2.24.3和2.25.1。版本号非常重要,因为1.00.1版本只能够监控一款即时通讯软件,而2.24.3能够监控的软件多达十几款。
应用会针对设备root与否进行区别对待。如果设备被root,软件就会进行一系列操作确保能够驻足系统。还不确定软件是否有能力对未root的设备进行root操作。
监控软件支持的指令包括:录音,视频录制,电话录音(包括呼入呼出)、擦除数据,短信拦截,短信关键词监控,监控摄像头照片,通讯录,日历信息,地理位置跟踪,Gmail应用消息,除此之外,软件还有一系列插件用来监控特定的即时通讯软件。不过针对其他软件如whatsapp, snapchat可能需要在root的设备上完成。
软件中的模块可以提取各种应用程序的敏感信息。 一般来说,这些应用程序数据是受到保护的,但是如果手机被root,间谍软件就可以获取任何应用程序的敏感信息。
Snapchat
Snapchat监控插件代码
public static String a(String arg10, String arg11) { String v0; String v1 = null; String[] v3 = new String[]{String.format("%s/%s/%s/%s", "/data/data", "com.snapchat.android", arg10, arg11), String.format("%s/%s/%s/%s", "/dbdata/databases", "com.snapchat.android", arg10, arg11)}; int v4 = v3.length; int v2 = 0; while(true) { if(v2 < v4) { v0 = v3[v2]; if(ShellUtil.b(v0)) { } else { ++v2; continue; } } else { return v1; } return v0; } return v1;
Motherboard获得的一份2016年的文件称,FlexiSPY的每月收入为40万美元。据说公司创始人Atir Raihan生活奢侈,花了大部分时间来度假和聚会。
名为“离岸(offshore)”的泄露ppt显示,该公司与MossackFonseca公司(巴拿马文件背后的公司)一样都注册于塞舌尔。
而一份泄漏的表格则显示有22个国家的40多家公司曾经联系过这家公司。文件中列举的国家包括以色列,印度,中国,俄罗斯和美国,但不清楚这些公司是否购买了FlexiSPY。
遭遇文件泄漏后,FlexiSPY的用户登录门户已经下线,但是周六有人报道称它已经重新上线。
泄露文件地址:https://github.com/Te-k/flexidie
Mega网盘:
FlexiSpyOmni源码 https://mega.nz/#!AmZEjbrb!nehl_WgZAkkh9fuh_RSV8-KncLxW70eP83tEWsnq2EE
FlexiSpyOmni Binaries(flexidie) https://mega.nz/#!hmRwCJwT!aKoKEvF29z3j4uGaSxZuBkqfdeY5ARVa-ghuYmMRhkU
FlexSpy 软件分析 http://www.cybermerchantsofdeath.com/blog/2017/04/23/FlexiSpy.html