关键发现

这项与第一部门（一个法律援助组织）的联合调查发现，在一名被指控向乌克兰汇款的俄罗斯程序员获释后，间谍软件被秘密植入了他的手机。

他描述了自己遭受殴打，并受到俄罗斯联邦安全局（FSB）强烈招募成为线人的压力。

我们的分析发现，植入该设备的间谍软件使操作者能够：

• 追踪目标设备位置
• 录制电话
• 记录键盘输入
• 读取加密消息应用中的消息 等多种功能。

该间谍软件与Lookout移动安全公司之前报告的Monokle间谍软件家族有诸多相似之处，这些软件被归因于俄罗斯政府的承包商"特殊技术中心"。

我们的分析还发现，与之前报告的Monokle间谍软件样本相比，存在一些差异，这表明这可能是Monokle的更新版本，或是使用大量相同代码重新创建的新软件。

引言

第一部门是一个由流亡的俄罗斯人权律师伊万·帕夫洛夫于2021年9月（因其法律工作遭受迫害而离开俄罗斯）成立的法律援助组织，专门为被指控叛国和间谍罪的个人提供辩护。该组织自2022年5月起由德米特里·扎伊尔-贝克领导，在支持俄罗斯政府针对的个人方面发挥着关键作用。

2024年6月，第一部门收到基里尔·帕鲁贝茨的报告。帕鲁贝茨是一名俄罗斯程序员，此前因涉嫌向乌克兰汇款，被俄罗斯当局拘留15天并已获释。帕鲁贝茨同意在此报告中具名。在搜查公寓期间，他的安卓设备被没收，并遭受殴打，以迫使他透露设备密码。

帕鲁贝茨及其配偶均被拘留。在拘留期间，他描述了俄罗斯联邦安全局（FSB）对他进行强烈的线人招募。他被威胁称如不合作将面临无期徒刑。这一招募行动表明FSB对他的工作和联系人（包括在乌克兰的联系）有持续且专注的兴趣。

获释后，帕鲁贝茨在卢比扬卡大楼（FSB总部）返还了他的设备。他很快就注意到了异常行为，包括在运行安卓10的Oukitel WP7设备上出现可疑通知"Arm cortex vx3同步"，这并非该设备的标准通知。

与帕鲁贝茨及其配偶合作，第一部门检查了设备并识别出一个他未安装的可能有害的应用，该应用似乎是在拘留期间被引入手机的。随后，第一部门联系公民实验室寻求技术分析协助。

技术分析

我们的分析确认了第一部门识别的应用程序是恶意的，它似乎是正版Cube通话录音应用的木马版本。正版的Cube通话录音应用在Google Play商店上架，设计用于自动录制来电和即时通讯应用内的通话。

间谍软件功能

第一阶段

从应用程序请求的权限中，我们可以窥见间谍软件的功能。该间谍软件请求了许多正版应用程序未请求的权限，包括：

• 在应用程序未使用时访问位置信息
• 读取和发送短信
• 安装附加软件包
• 读取日历条目
• 录制屏幕截图
• 列出设备上的其他应用程序
• 接听电话
• 获取账户详情
• 使用摄像头录制视频

该间谍软件与正版应用程序共享了一些权限（这些权限对间谍软件也很常见），如：

• 访问精确位置
• 录制电话
• 获取目标联系人信息

大多数恶意功能都包含在独特的com.android.twe1ve类中，该类在Google Play商店的Cube通话录音应用中不存在。

应用程序的大部分恶意功能隐藏在间谍软件的加密第二阶段中。间谍软件加载并执行后，第二阶段将被解密并加载到内存中。这种混淆可以帮助隐藏某些反病毒软件的恶意活动。

第二阶段

第二阶段包含了许多常见的间谍软件功能，包括：

• 位置追踪
• 屏幕截图
• 键盘记录
• 录制通话
• 从设备提取文件
• 提取存储的密码
• 读取其他即时通讯应用的消息
• 添加新的设备管理员
• 注入JavaScript
• 执行shell命令
• 提取设备解锁密码

有趣的是，我们在代码中发现了多处iOS相关的引用，暗示可能存在iPhone版本的间谍软件。

新的Monokle间谍软件？

第一部门的技术专家怀疑这款间谍软件可能与2019年Lookout报告中提到的Monokle间谍软件家族有关。

在对样本的整个分析过程中，我们发现了与原始Monokle间谍软件样本的关键相似之处，但也存在一些差异。因此，我们评估这可能是Monokle的更新版本，或是重复使用了大部分原始Monokle代码的新软件。

命令与控制（C2）相似性

最具说服力的证据是命令与控制服务器发出的命令存在重叠，包括许多完全相同的字符串。这个样本和2019年的样本都使用"BaseSystemCommand"作为所有命令字符串的前缀，这似乎是这两个样本所特有的。

与原始Monokle样本的其他相似之处

除了命令与控制的相似性，还有一些额外的相似之处，尽管这些可能只是间谍软件的常见策略：

1. 使用类似的恶意软件暂存文件夹

• 两者都使用assets文件夹存储间谍软件的其他阶段和设置，并使用静态重复的XOR密钥解密数据。

• 该样本利用了无障碍设置，这也是Lookout报告中提到的特点。

• 许多功能如地理围栏、音频流、健康数据收集和解锁屏幕密码录制，都与Lookout报告的Monokle描述相符。

• 将间谍软件打包为合法应用程序的后门版本是一种常见技术，Monokle也是如此。

与Lookout Monokle样本的差异

尽管存在诸多相似之处，但分析也发现了一些重要的差异：

1. 文件名变化

• assets文件夹中存储的特定文件名已发生变化。

• 新样本使用与第二阶段不同的密钥，使得额外的命令与控制信息更难解密。

• 许多特定于第三方应用的权限
• 一些Android系统权限如"USE_FINGERPRINT"和"SET_WALLPAPER"
• "ACCESS_BACKGROUND_LOCATION"
• "INSTALL_PACKAGES"
• "LOCAL_MAC_ADDRESS"

• 新增权限：

• 移除的权限：

设备篡改的影响

对于FSB等安全机构来说，针对他们认为具有威胁性的个人进行有针对性的数字监控是常见的。在物理接触设备时，攻击策略往往会发生变化。

拘留和设备没收为对手提供了一个独特的机会，可以在不同于远程攻击的技术挑战下安装间谍软件。如果对手有用户级设备访问权，并能强迫个人提供凭证和/或设备解锁密码（如本案例），这种风险尤其明显。

本案例说明，将设备暂时交给像FSB这样的敌对安全机构可能会带来严重的妥协风险，且这种风险将延续至设备返还之后。

我们建议，对于曾失去设备实际控制权的民间社会成员，特别是在俄罗斯等专制国家的技术熟练的安全机构手中，在设备返还后应寻求专家协助。任何被这类服务没收并返还的设备，都应被视为不再可信，需要进行详细的专业分析。