Android 间谍软件意外曝光另一家意大利监控公司

RedNaga 安全团队研究员发现了新的 Android 间谍软件样本。该恶意软件具备了间谍软件的常用功能，并已经被发现用来针对政府组织，据调查该间谍软件与意大利一家为政府提供服务的软件公司 Raxir 有关。

该间谍软件具备了大多数间谍软件的常用功能：在系统启动后，程序会自动从桌面隐藏，开启或关闭GPS，控制设备静音，截取屏幕并存储，记录视频和音频文件，执行系统中的.dex文件，专门配置短信号码（873451679TRW68IO）将设备信息发送至指定的号码，伪装成谷歌服务的更新。
起初，专家们发现，Android 间谍软件与两个 IP 地址进行通信，而这两个 IP 过去曾被全球执法和情报机构间谍软件制造商 HackingTeam 使用过。此外，代码中还使用了意大利串，这表明有意大利人员参与了间谍软件的制作。

Hacking Team 是一家意大利公司，又称 HTS.r.l.，专注于研究监控技术，其销售的入侵和监控工具多供给全球各政府与执法机构，是为数不多的几家向全世界执法机构出售监控工具的公司之一

后由两位前 Hacking Team 公司员工和 Citizen Lab 实验室研究员 Bill Marczak 联合检查，最终确定软件不是 Hacking Team 公司研发制作的。

那么，谁开发了 Android 间谍软件？

在一台服务器 SSL 证书中，研究人员发现了一个被反复引用的字符串“ Raxir ”，这很可能是间谍软件作者。

RAXIR 是一家意大利公司，成立于2013年，该公司开发的软件主要用于意大利执法调查、为司法鉴定工作提供服务。

研究员扫描互联网上 Raxir 的痕迹发现了另一个服务器“ProcuraNapoliRaxirSrv” 。“The Procura ” 是调查犯罪办公室，“ Napoli ”是意大利南部的热门城市。因而推断这间办公室是 Raxir 公司的客户之一。

该软件具有如 READ_CONTACTS，CAMERA，SEND_SMS，RECEIVE_SMS 等权限，这些都是常见的恶意软件行为。此外，该恶意软件的开发者试图欺骗反向工程师调用“软件更新”的活动标签。在 apk 文件中，字符串还经过加密，这使逆向工程分析变得更加复杂。

似乎一切真相大白，但有一个大的疑团出现，RAXIS 公司的间谍软件为何要感染政府人员的移动设备。

1、间谍软件失控，被其他人利用。
2、出于某种原因，政府需用来调查内部人员。

稿源：本站翻译整理，封面来源：百度搜索

from hackernews.cc.thanks for it.