【大纪元2025年04月12日讯】(大纪元记者程雯、易如采访报导)近日有两款中共间谍软件被国际曝光,这些间谍软件被指用于监控中共认为会对其政权构成威胁的人士和群体,但使用者范围可能更加广泛。网络安全专家警告说,千万不要去点击任何来历不明的链接、网页和应用程序,以及广告弹窗,这些恶意软件经常会以各种网络形式吸引用户点击,然后会被自动植入用户的移动装置。
国际安全机构曝光来自四川的两款中共间谍软件
英国国家网路安全中心(NCSC UK)和其它五国合作伙伴(美国、澳大利亚、新西兰、加拿大和德国)在4月9日联合发布公告,曝光了两款间谍软件BADBAZAAR和MOONSHINE,并向遭受这两款间谍软件威胁度较高的群体发出警报资讯。
据这份NCSC公告,这两款间谍软件的部署者是“四川电科网安科技股份有限公司”(Sichuan Dianke Network Security Technology Co. Ltd.)。该公司被指与中共公安部有直接联系。
这两款间谍软件的高风险人群包括位于世界各地的支持台湾独立人士、支持西藏和新疆维权人士、民主倡导者(包括支持香港民主人士)、法轮功精神团体,以及与这些群体有关联的任何人。
BADBAZAAR和MOONSHINE被指采用了一种“木马病毒”的技术,可将恶意功能隐藏在合法的应用程序中。一旦安装后,这些应用程序就会在用户不知情的情况下对用户移动装置上的麦克风、照相机、简讯、照片和定位(包括即时追踪)等各种功能进行访问存取。
例如,独立的应用程序“西藏一号”(Tibet One)隐藏着BADBAZAAR ,“音频古兰经”(Audio Quran)隐藏着MOONSHINE,这两个应用程序都支持目标用户的母语,并在目标用户经常访问的线上论坛上进行推广,以分别追踪和监视藏族人和维吾尔族人。还有一些应用程序是模仿Whatsapp和Skype等合法品牌的山寨程序,其中也隐藏着间谍软件。
NCSC营运总监保罗·奇切斯特(Paul Chichester)说:“我们看到旨在压制、监视和恐吓跨境社区的数字威胁在日益增多,使用这两种形式的间谍软件显然是不可接受的。”
中共使用各种网络操作来监控和窃密
台湾国防安全研究院网路安全所副研究员曾怡硕博士指出,这些中共间谍软件基本上都有两个功能,一个是监控,一个是窃密。
曾怡硕解释说,这些恶意软件被点击或扫描,或者经由社交媒体工具渗透进移动装置后,它基本上都会取得访问权限,如果连接到摄影机或麦克风上,就可以监控影音,并从“后门”回传。它还可以监控用户在移动装置上的使用行为、做了什么、跟谁联系和联系内容等;它还可以进入移动装置的档案中进行窃密。
曾怡硕表示,这是中共公安部门或情报部门需要的监控和窃密,他们一般用外包的方式去研发这类恶意软件、针对特定对象的App程序,“它知道,特定对象可能会上钩,那它就找到监控的目标了,尤其是海外异议分子,或是它认为有情报价值的目标,或者是个人,或者是组织,这是(中共)公安部都有需求去使用的。”
“过去有可能只是一个链接,让你去点;后来会变成一个页面,看起来很类似一个官方页面,或者是一个机构的页面,或者是你信用卡的页面,现在进一步变成你常使用的社交媒体的一个页面,像这样的一个App,让你去使用。你使用后,你联系的对象、联系的内容,还有你的使用习惯,你传的档案都有可能会被监控以及被窃密。”曾怡硕又说。
“这里面(不同方式)操作的目的是,它都装了窃密软体、监控软体、间谍软体——这部分的作用跟目的是一样的,只是说它运用的方式不一样而已。”
曾怡硕提醒说,随着网络用户的安全防御加强,中共也会变换新的方式继续加害,“它能够用各种不同的方式,是因为大家也会有点资安攻防,你开始有防御,它也知道你有哪些招数。提醒大家要注意提高警觉:要加害的一方,就可能在运用不同的新的方法。”
中共或买通西方黑客制作间谍软件
美国硅谷通讯网络资深工程师钟山表示,他对BADBAZAAR有所了解,至少两年前就知道这个软件有问题,但是刚刚看到报导才知道这是中共的间谍软件,这让他吃惊不小,并感到其中的问题会很大。
钟山告诉本报记者,BADBAZAAR是纯英文软件,它的字库里可能有突厥语、西藏语、穆斯林语、阿拉伯语、维吾尔语等,但是没有中文,包括简体和繁体。“我没想到它是跟中共有关的,因为它是纯英文的。”
对于这类针对特定群体的专门软件,而又没有任何简繁中文字库的,钟山表示,他凭经验感觉这像是中共与海外做垃圾软件的黑客组织的“互相勾结”,“一边有愿意给钱买数据的,另一边有愿意干技术活、干坏事、干脏活的,它们就弄在一起了”。
中共间谍软件危害远超想像
钟山介绍说,他所了解的BADBAZAAR软件有在“小众平台”上以强制广告弹窗形式出现的,也有在社交媒体如Telegram(电报)、Skype和微博上的群组里用广告机器人定期发布出来的。
“小众平台”是指给少数有特殊需求的人提供的网络平台,如特殊软件下载平台、小众工具软件平台、炒币平台、地下支付平台、交友平台等。
BADBAZAAR会在这些平台上强行弹窗出来,并说用户的电脑安全有问题,要求用户下载它。
而社交群组里的广告机器人会发布一些很值得让人去点击的链接吸引用户,一点开这个链接之后就会有弹窗出来,或者就是直接的自动下载了,然后就会植入用户的设备。
钟山发现BADBAZAAR在微软电脑、安卓手机和苹果系统上都可以运行,他也很惊讶于这种恶意垃圾软件竟然能够把这三大平台都覆盖了,这显示出其制作“还是挺专业的、很精细的”。
他还介绍说,BADBAZAAR这类软件是属于“驻留内存”的,也就是说它在用户的设备里始终开着,在后台运行,会盯着用户干了什么,会偷取数据,这就是它在执行监控和盗窃功能。
钟山举例说,输入法软件就是长期驻留内存的,用户一般不会关掉输入法软件,都是开着输入法软件让它在后台运行,那么用户所有输入的字、词、个人词库都会被输入法软件记录下来。所以,他说:“国内生产的输入法软件都不能用,都不能用。”
同时,BADBAZAAR也是属于有“后门”的软件,它的“后门”会告诉它收集什么东西。
除了监控和盗窃以外,BADBAZAAR这类恶意软件也会固定在装置里吃内存,而用户很难杀掉它的进程。“这种软件会拖垮内存的,而且它很有隐蔽性。作为电脑用户来说,它会把你的浏览器变得非常慢。这是很糟糕的事。”钟山说。
他还举例提到,以前流行“挖矿”——就是用比特币赚钱的时候,这是一种常见的手段,有人就用这种软件去吸引用户点击,点击下载之后,用户的电脑就会拿出一部分内存算力,去帮它“挖矿”了。“它让你免费上网看东西,然后你就得免费帮它去‘挖矿’。就相当于你的电脑就做了‘矿机’了。”
如何防范这类间谍软件
仅就BADBAZAAR和MOONSHINE这两种间谍软件而言,钟山表示,因为它们已经被公布到这种程度,都已经“臭名昭著”了,因此所有的安全平台都会标记它们的,它们已经不会像以前那么有杀伤力了,用户只要经常更新自己的移动设备上的软件系统就可以了。
而对于类似的间谍软件,因为它们多是在社媒群体中推广的,钟山说:“这些群里面经常有发广告链接的,这些广告链接里面就藏有这些软件的。”
“不要去点开这种陌生的链接,也不要轻易去打开那些不信任的网站。不要点击广告弹窗,一看就不对劲的广告弹窗要赶紧把它关上。”钟山建议,最重要的是从第一个环节就不要轻易点击那些来历不明的链接,不要点击那些看起来很有诱惑力的链接。
他还建议使用“AdBlock”——就是“广告阻挡屏蔽功能”,任何软件中都有这个功能——针对某些广告弹窗把它关掉,让它永远不要打开,这是一些可以做到的安全防范措施。
钟山说,不要在那些小众软件网站上逗留。他估计那里的广告都是有问题的。
对于安卓用户和苹果用户,钟山建议“不要下载第三方平台的软件”。
如果不小心接受第三方下载了这种软件,钟山表示,只要用户的装置上安装有安全软件的话,安全软件就会报警,至少会告诉用户说这个软件在吃掉内存,让用户确认一下这个软件是否可靠,然后把刚才下载的这个软件删除掉就可以了。
总之,钟山提醒说:“作为一个用户的习惯来说,永远要小心那种来历不明的平台提供的更加来历不明的软件,要非常小心,以免泄密,导致连累自己和连累其他人。”
责任编辑:叶紫微#
