追踪、定位、监听一个也不能少：最强悍的监控间谍软件FlexiSPY源码泄露

4月22日，黑客FlexiDie公布了大量来自监控软件厂商FlexiSPY的文件，泄露的文件包括源码和一些内部文档。

这家监控公司其实是一家总部位于泰国（一说位于中国香港）的小公司，官网显示其主要的目标客户包括希望监控员工的老板、想要监控孩子手机的父母，还有想要监控伴侣的夫妻，第三类客户显然是最多的。《福布斯》今年2月曾对这类监控软件进行过报道，报道指出，在2015年妇女援助组织对693名妇女的调查中，有29％的受访者表示，他们的手机或电脑上曾被伴侣或者前任安装间谍软件或GPS定位器。

但FlexiSPY的客户可不止官网上宣传的这些。此次遭泄密的文件还显示，旗下的监控软件还出售给了土耳其、沙特阿拉伯和巴林政府。

FlexiSPY还与其他监控软件厂商存在一定的联系，FlexiSPY软件可能还被用在了另一款由Gamma公司开发的软件中，这家公司是英德监控公司。

根据泄露的文档， FlexiSPY的工作人员曾协助Gamma工作人员安装软件“Cyclops”，这款软件被用在Gamma自己的监控程序FinSpy上。

Gamma在2012年将FinSpy卖给巴林政府。2015年，有证据显示包括埃及，沙特阿拉伯，土库曼斯坦和委内瑞拉在内的国家政府使用这些监控软件。维基解密SpyFiles系列声称，FinSpy被用来监视“记者，活动家和政治异议人士”。2014年，一名黑客入侵了Gamma International内网，公开了40GB的内部文档和恶意程序源代码（BT种子），曾经轰动一时。

监控能力

官网的信息显示，FlexiSPY能够监控的范围包括“所有电脑&Mac用户的活动”，设备涵盖“安卓、苹果, iPad, PC 和 Mac”。不过小编询问客服后了解到，FlexiSPY支持的windows系统包括Windows 7、Windows 8, 8.1和Windows 10。并且对Windows Mobile尚无支持。

FlexiSPY能够监控的内容包括：

PC端：

监控信息 & 键盘录入 Webmail Webmail 截图 键盘记录 Skype LINE QQ Yahoo Messenger Hangouts Trillian Viber AIM iMessage 微信 监控互联网 & 应用程序 已经浏览过的网页 浏览器历史记录 浏览器视频 应用程序使用 已安装的应用程序 监控网络 & 打印情况 监控网络连接 监控打印机使用情况 监控文档活动和用户 文档活动信息 文件传输 U盘连接 桌面屏幕截图 监控用户登录/登出 什么时间锁屏 远程监控 远程卸载软件 远程注销软件 远程更改软件功能 秘密监控 在开始菜单里隐藏软件 从系统托盘中隐藏软件 从任务管理器中隐藏软件 显示/隐藏软件图标 阻止软件被卸载 通过安全密钥组合访问

移动端：

Facebook, LINE, Viber, 微信, Skype, iMessage, 短信, BBM, WhatsApp, KIK 通话记录、通讯簿、便签、日历； 照片、视频、音乐、壁纸； 应用程序、书签、网页历史记录、位置。 监听和记录通话内容； 控制麦克风和摄像头； 恶搞工具。

但值得一提的事，安装FlexiSPY必须有操作那些设备的物理权限，软件不能远程安装。

泄露软件分析

IOC

下面的这些URL和字符串都是给反病毒厂商做分析的，用于识别设备有没有被感染。

URL

http://58.137.119.229/RainbowCore/ (发现在com.vvt.phoenix.prot.test.CSMTest中) “http://trkps.com/m.php?lat=%f&long=%f&t=%s&i=%s&z=5” (发现在source//location_capture/tests/location_capture_tests/src/com/vvt/locationcapture/tests/Location_capture_testsActivity.java:)

有一个IP地址在代码中被备注了

//private String mUrl = “http://202.176.88.55:8880/

字符串

以下字符串存在于/source/phoenix/test/phoenix_demo/src/demo/vvt/phoenix/PhoenixDemoActivity.java中：

“/sdcard/pdemo/”; “http://58.137.119.229/RainbowCore/“; “http://192.168.2.116/RainbowCore/“; “gateway/unstructured”; /sdcard/data/data/com.vvt.im”

软件概览

以下的分析是通过逆向两款Android应用和通过检查泄密的源代码获得的。源码的版本是1.00.1，而Android应用的版本号是2.24.3和2.25.1。版本号非常重要，因为1.00.1版本只能够监控一款即时通讯软件，而2.24.3能够监控的软件多达十几款。

应用会针对设备root与否进行区别对待。如果设备被root，软件就会进行一系列操作确保能够驻足系统。还不确定软件是否有能力对未root的设备进行root操作。

监控软件支持的指令包括：录音，视频录制，电话录音（包括呼入呼出）、擦除数据，短信拦截，短信关键词监控，监控摄像头照片，通讯录，日历信息，地理位置跟踪，Gmail应用消息，除此之外，软件还有一系列插件用来监控特定的即时通讯软件。不过针对其他软件如whatsapp, snapchat可能需要在root的设备上完成。

应用程序监控

软件中的模块可以提取各种应用程序的敏感信息。 一般来说，这些应用程序数据是受到保护的，但是如果手机被root，间谍软件就可以获取任何应用程序的敏感信息。

WhatsApp

Snapchat

Snapchat监控插件代码

 public static String a(String arg10, String arg11) {
        String v0;
        String v1 = null;
        String[] v3 = new String[]{String.format("%s/%s/%s/%s", "/data/data", "com.snapchat.android", arg10, arg11), String.format("%s/%s/%s/%s", "/dbdata/databases", "com.snapchat.android", arg10, arg11)}; int v4 = v3.length; int v2 = 0; while(true) { if(v2 < v4) {
                v0 = v3[v2]; if(ShellUtil.b(v0)) {
                } else {
                    ++v2; continue;
                }
            } else { return v1;
            } return v0;
        } return v1;

财务状况

Motherboard获得的一份2016年的文件称，FlexiSPY的每月收入为40万美元。据说公司创始人Atir Raihan生活奢侈，花了大部分时间来度假和聚会。

名为“离岸(offshore)”的泄露ppt显示，该公司与MossackFonseca公司（巴拿马文件背后的公司）一样都注册于塞舌尔。

而一份泄漏的表格则显示有22个国家的40多家公司曾经联系过这家公司。文件中列举的国家包括以色列，印度，中国，俄罗斯和美国，但不清楚这些公司是否购买了FlexiSPY。

遭遇文件泄漏后，FlexiSPY的用户登录门户已经下线，但是周六有人报道称它已经重新上线。