中资银行要求外国公司安装带有隐蔽后门的APP

最近，一家大型跨国科技公司在向中国扩张业务时遭遇了令人不快的惊喜。当地一家银行要求该公司安装的软件可以缴纳地方税，其中包含一个高级后门。

周四发布的一份报告中详细描述了这一警示故事，称由总部位于北京的爱思诺公司生产的名为智能税务的软件包起到了广告宣传的作用。在幕后，它还安装了一个单独的程序，允许其创建者在受感染的计算机上远程执行他们选择的命令或软件。它还由Windows受信任证书进行数字签名。

发现这一发现的安全公司Trustwave的研究人员将这一后门称为“黄金间谍”(GoldenSpy)。凭借对Windows电脑的系统级权限，它连接到位于ningzhidata[.]com的控制服务器，Trustwave研究人员说，这个域名是已知的托管该恶意软件其他变体的域名。后门包括各种高级功能，旨在深入、隐蔽和持久地访问受感染的计算机。

GoldenSpy安装了两个完全相同的版本，都是持久的自动启动服务。如果其中一方停止运行，它将重新生成另一方。此外，它还利用一个exe保护器模块来监视自身任一迭代的删除。如果删除，它将下载并执行新版本。实际上，这种三层保护使得从受感染的系统中删除此文件变得极其困难。

智能税务软件的卸载功能不会卸载GoldenSpy。它让GoldenSpy作为进入环境的敞开后门运行，即使在税务软件完全删除之后也是如此。

直到税务软件安装过程完成整整两个小时后，才会下载和安装GoldenSpy。当它最终下载并安装时，它会静默进行，不会在系统上发出任何通知。这种长时间的延误是非常不寻常的，也是一种躲避受害者注意的方法。

GoldenSpy并不联系税务软件的网络基础设施(i-xinno[.]com)，而是联系ningzhidata[.]com，这个域名是已知的托管其他版本的GoldenSpy恶意软件的域名。在前三次尝试联系其指挥和控制服务器之后，它会随机化信标时间。这是避免采用旨在识别信标恶意软件的网络安全技术的已知方法。

GoldenSpy以系统级权限运行，这使得它非常危险，并且能够在系统上执行任何软件。这包括用于执行侦察、创建新用户、提升权限等的其他恶意软件或Windows管理工具。

周四的帖子说，Trustwave Threat分析师发现了第二家公司的“类似活动”，但没有太多其他细节。这家安全公司已经发现了可以追溯到2016年末的GoldenSpy的变体，但第一次有迹象表明，后门实际上被用于野外是在4月份，当时针对这家科技公司的行动开始了。研究人员仍然不知道这一威胁的范围、目的或背后的行为者。Trustwave没有透露遇到GoldenSpy的两家公司或要求安装智能税务的当地中资银行。Aisino Corporation的代表没有立即回复寻求对本文置评的电子邮件。