Monitor Minor，一个由卡巴斯基实验室的专家发现的新的跟踪软件，可以跟踪Gmail，WhatsApp，Instagram和Facebook的用户活动。

如果说，一般的跟踪软件能够收集受害者当前的地理位置，拦截短信和通话数据，有时还能做到地理围栏功能，Monitor Minor也是如此，但不同的是，它比其家族的所有现有软件功能更为强大。

Monitor Minor的强大之处就在于它还能监视其他通信渠道（如即时消息传递应用程序）。

该跟踪软件的作者利用了SuperUser类型的应用程序（SU实用程序）具备的对系统root访问权限，从社交网络和即时消息程序中提取消息历史记录。如果无法获得所需的访问权限，软件会利用窗口截图、记录屏幕点击等方式来获取信息。

在“干净的”Android操作系统中，沙箱阻止了应用程序之间的直接通信，因此跟踪软件无法简单地打开并获取WhatsApp的访问权限。这种访问模型称为DAC（自由访问控制）。但是，如果安装了SuperUser类型的应用程序（SU实用程序），情况就会发生变化，结果变成授予对系统的root访问权限。可以说，MonitorMinor的作者是基于SU实用程序来做的。

通过运行SU实用程序提权后，该恶意软件就可以完全访问这些应用程序中的数据：

LINE：免费电话和短信

Gmail邮箱

Zalo：视频通话

Instagram

Facebook

Kik

Hangouts

Viber

Hike News & Content

Skype

Snapchat

JusTalk

BOTIM

此外，Monitor Monor能从设备中提取文件/数据等的密钥，其中包含屏幕解锁模式的哈希值或密码。让其使用者能够用它来解锁设备。

恶意软件实施的持久性机制非常有效，并利用了root访问权限。 跟踪软件将系统分区从只读重新安装到读/写模式，然后将自身复制到该分区，从用户分区中删除自己，然后将其重新安装回只读模式。受害者将无法使用常规OS工具删除该软件。又因为Monitor Minor利用Accessibility Services API来拦截受控应用程序中的事件，即使没有root访问权限，它也可以使用此API在所有设备上有效运行。

该恶意软件还实现了键盘记录器，通过此API，允许使用者监视剪贴板并转发内容。

此外，还有使用SMS命令控制设备、查看设备摄像头中的实时视频、记录设备麦克风的声音、在Chrome中查看浏览历史记录、查看某些应用的使用情况统计信息、查看设备内部存储的内容、查看联系人列表、查看系统日志等诸多功能。

据了解，Monitor Minor大多安装在印度（14.71％），其次是墨西哥（11.76％），德国、沙特阿拉伯和英国（5.88％），并且疑似为印度开发人员制作的的。

*参考来源：securityaffairs，kirazhou编译整理，转载请注明来自 FreeBuf.COM。