间谍软件

4月22日，黑客FlexiDie公布了大量来自监控软件厂商FlexiSPY的文件，泄露的文件包括源码和一些内部文档。

这家监控公司其实是一家总部位于泰国（一说位于香港）的小公司，官网显示其主要的目标客户包括希望监控员工的老板、想要监控孩子手机的父母，还有想要监控伴侣的夫妻，第三类客户显然是最多的。《福布斯》今年2月曾对这类监控软件进行过报道，报道指出，在2015年妇女援助组织对693名妇女的调查中，有29％的受访者表示，他们的手机或电脑上曾被伴侣或者前任安装间谍软件或GPS定位器。

但FlexiSPY的客户可不止官网上宣传的这些。此次遭泄密的文件还显示，旗下的监控软件还出售给了土耳其、沙特阿拉伯和巴林政府。

FlexiSPY还与其他监控软件厂商存在一定的联系，FlexiSPY软件可能还被用在了另一款由Gamma公司开发的软件中，这家公司是英德监控公司。

根据泄露的文档， FlexiSPY的工作人员曾协助Gamma工作人员安装软件“Cyclops”，这款软件被用在Gamma自己的监控程序FinSpy上。

Gamma在2012年将FinSpy卖给巴林政府。2015年，有证据显示包括埃及，沙特阿拉伯，土库曼斯坦和委内瑞拉在内的国家政府使用这些监控软件。维基解密SpyFiles系列声称，FinSpy被用来监视“记者，活动家和政治异议人士”。2014年，一名黑客入侵了Gamma International内网，公开了40GB的内部文档和恶意程序源代码（BT种子），曾经轰动一时。

监控能力

官网的信息显示，FlexiSPY能够监控的范围包括“所有电脑&Mac用户的活动”，设备涵盖“安卓、苹果, iPad, PC 和 Mac”。不过小编询问客服后了解到，FlexiSPY支持的windows系统包括Windows 7、Windows 8, 8.1和Windows 10。并且对Windows Mobile尚无支持。

FlexiSPY能够监控的内容包括：

PC端：

监控信息 & 键盘录入

Webmail

Webmail 截图

键盘记录

Skype

LINE

QQ

Yahoo Messenger

Hangouts

Trillian

Viber

AIM

iMessage

微信

监控互联网 & 应用程序

已经浏览过的网页

浏览器历史记录

浏览器视频

应用程序使用

已安装的应用程序

监控网络 & 打印情况

监控网络连接

监控打印机使用情况

监控文档活动和用户

文档活动信息

文件传输

U盘连接

桌面屏幕截图

监控用户登录/登出

什么时间锁屏

远程监控

远程卸载软件

远程注销软件

远程更改软件功能

秘密监控

在开始菜单里隐藏软件

从系统托盘中隐藏软件

从任务管理器中隐藏软件

显示/隐藏软件图标

阻止软件被卸载

通过安全密钥组合访问

移动端：

Facebook, LINE, Viber, 微信, Skype, iMessage, 短信, BBM, WhatsApp, KIK

通话记录、通讯簿、便签、日历；

照片、视频、音乐、壁纸；

应用程序、书签、网页历史记录、位置。

监听和记录通话内容；

控制麦克风和摄像头；

恶搞工具。

但值得一提的事，安装FlexiSPY必须有操作那些设备的物理权限，软件不能远程安装。

泄露软件分析

IOC

下面的这些URL和字符串都是给反病毒厂商做分析的，用于识别设备有没有被感染。

URL

http://58.137.119.229/RainbowCore/ (发现在com.vvt.phoenix.prot.test.CSMTest中)

“http://trkps.com/m.php?lat=%f&long=%f&t=%s&i=%s&z=5” (发现在source//location_capture/tests/location_capture_tests/src/com/vvt/locationcapture/tests/Location_capture_testsActivity.java:)

有一个IP地址在代码中被备注了

//private String mUrl = “http://202.176.88.55:8880/

字符串

以下字符串存在于/source/phoenix/test/phoenix_demo/src/demo/vvt/phoenix/PhoenixDemoActivity.java中：

“/sdcard/pdemo/”;

“http://58.137.119.229/RainbowCore/“;

“http://192.168.2.116/RainbowCore/“;

“gateway/unstructured”;

/sdcard/data/data/com.vvt.im”

软件概览

以下的分析是通过逆向两款Android应用和通过检查泄密的源代码获得的。源码的版本是1.00.1，而Android应用的版本号是2.24.3和2.25.1。版本号非常重要，因为1.00.1版本只能够监控一款即时通讯软件，而2.24.3能够监控的软件多达十几款。

应用会针对设备root与否进行区别对待。如果设备被root，软件就会进行一系列操作确保能够驻足系统。还不确定软件是否有能力对未root的设备进行root操作。

监控软件支持的指令包括：录音，视频录制，电话录音（包括呼入呼出）、擦除数据，短信拦截，短信关键词监控，监控摄像头照片，通讯录，日历信息，地理位置跟踪，Gmail应用消息，除此之外，软件还有一系列插件用来监控特定的即时通讯软件。不过针对其他软件如whatsapp, snapchat可能需要在root的设备上完成。

应用程序监控

软件中的模块可以提取各种应用程序的敏感信息。 一般来说，这些应用程序数据是受到保护的，但是如果手机被root，间谍软件就可以获取任何应用程序的敏感信息。

WhatsApp

Snapchat

Snapchat监控插件代码

  public static String a(String arg10, String arg11) {
        String v0;
        String v1 = null;
        String[] v3 = new String[]{String.format("%s/%s/%s/%s", "/data/data", "com.snapchat.android", arg10, arg11), String.format("%s/%s/%s/%s", "/dbdata/databases", "com.snapchat.android", arg10, arg11)};
        int v4 = v3.length;
        int v2 = 0;
        while(true) {
            if(v2 < v4) {
                v0 = v3[v2];
                if(ShellUtil.b(v0)) {
                }
                else {
                    ++v2;
                    continue;
                }
            }
            else {
                return v1;
            }

            return v0;
        }

        return v1;

财务状况

Motherboard获得的一份2016年的文件称，FlexiSPY的每月收入为40万美元。据说公司创始人Atir Raihan生活奢侈，花了大部分时间来度假和聚会。

名为“离岸(offshore)”的泄露ppt显示，该公司与MossackFonseca公司（巴拿马文件背后的公司）一样都注册于塞舌尔。

而一份泄漏的表格则显示有22个国家的40多家公司曾经联系过这家公司。文件中列举的国家包括以色列，印度，中国，俄罗斯和美国，但不清楚这些公司是否购买了FlexiSPY。

遭遇文件泄漏后，FlexiSPY的用户登录门户已经下线，但是周六有人报道称它已经重新上线。

泄露文件地址：https://github.com/Te-k/flexidie

Mega网盘：

FlexiSpyOmni源码  https://mega.nz/#!AmZEjbrb!nehl_WgZAkkh9fuh_RSV8-KncLxW70eP83tEWsnq2EE

FlexiSpyOmni Binaries(flexidie)  https://mega.nz/#!hmRwCJwT!aKoKEvF29z3j4uGaSxZuBkqfdeY5ARVa-ghuYmMRhkU

FlexSpy 软件分析 http://www.cybermerchantsofdeath.com/blog/2017/04/23/FlexiSpy.html

*参考来源：RT & CybermerchantsofDeath，本文作者：Sphinx，转载请注明来自FreeBuf.COM