1.    概述

众所周知,Android是分层架构的。顶层应用层,Android会随系统一起打包一些核心应用(日历、短信、电话等),均是使用java语言编写;Java框架层也就是我们所说的Framework,里面主要为一些ActivityManagerService、PackageManageService等等,我们所编写的android代码能够正常的识别和动作都要依赖这一层的支持,由java语言实现;而Native层为一些本地服务和链接库,例如我们需要一个复杂的运算如果使用java去编写效率会很低,该层一般用c++开发,因语言的差异此时要与上层编写的java代码互通,就需要使用android中的jni机制;Android底层是在linux内核基础上做一些裁剪和定制,并运行了一个Dalvik/Art虚拟机,所有的应用都需要运行在虚拟机上。当程序代码趋向底层时对其的破译、逆向分析难度也就会增大从而安全性和隐蔽性也就有了良好的保障,而黑客也正是利用这一点对其开发的程序加上了一层保护伞。

近期,暗影实验室发现了一款app,此类恶意程序启动后,隐藏启动图标,防止用户主动查杀,而其真正目的是在后台窃取用户隐私。经过对该app的挖掘分析,发现其将自身的敏感且关键的信息写到了本地层,该篇文章即通过此示例讲述了Native层的逆向以及对ARM汇编代码的解析,最后提取出我们所需要的关键信息。

2.    样本信息

恶意程序基本信息如下表:

应用名称

样本md5

包名

相片

762B9874707BA9305914F4528D08CD2C

com.swift.a45

表2-1 样本基本信息

恶意程序安装信息如下图:

image.png

表2-2 样本安装信息

恶意程序签名信息如下表:

所有者

CN=8y9u43,OU=ht97uig,O=tiug543,L=yf54543,ST=uyfh543,C=86

发布者

CN=8y9u43,OU=ht97uig,O=tiug543,L=yf54543,ST=uyfh543,C=86

序列号

6BDF7DA9

证书MD5

8C63C8499087821D567D2EE16B8C57C3

证书SHA1

53760FC838C5C4DD7FCD825FBDAAA49A0B42EC0D

表2-3 样本签名信息

3.     Native层逆向逻辑分析流程

image.png

4.    代码分析

4.1 启动项与加载项

该程序采用传统的启动方式,即MainActivity的onCreate方法,随后通过Intent跳转到后台服务执行恶意操作。

image.png

图4-1-1 启动项

启动服务-关键信息切入点:

image.png

图4-1-2 加载项

4.2 NativeMethod

该应用为了提高隐蔽性已将个人数据隐藏至本地层,在启动服务后加载指定函数,调用本地方法,从本地拿取所需的关键数据。

image.png

图4-2-1 接入本地方法

image.png

图4-2-2加载so与本地方法

4.3 通过Jni完成函数的调用

JNI作为与本地数据传递的桥梁,通过其可以实现Java代码里调用C、C++等语言的代码,如下为加载到本地层的关键函数信息

image.png

图4-3-1 JNI函数调用模块

此时需注意通过JNI调用本地方法的书写方式:

  1. 格式      = Java_包名_类名_需要调用的方法名

  1. Java必须大写

  1. 对于包名,包名里的.要改成_,_要改成_1。

如包名为scut.carson_ho.ndk_demo,则需要改成scut_carson_1ho_ndk_1demo

4.4 解析ARM指令

找到调用的函数后,我们可以将其转换成汇编伪指令,进一步解读其含义,此时应注意code位数与指令模式以便进行偏移的计算。

4.4.1 ARM关键函数信息

邮箱信息指令逻辑

image.png

图4-4-1-1 arm-邮箱账号函数块

密码信息指令逻辑

image.png

图4-4-1-2 arm-邮箱密码函数块

号码信息指令逻辑

image.png

图4-4-1-3 arm-手机号信息

众所周知,25端口为SMTP协议主要用于发送邮件,也被很多木马程序所利用。

image.png

图4-4-1-4 arm-端口号及主机信息

4.4.2 ARM指令解析

因结构与计算方式大同小异,仅以上述邮箱和密码为例

image.png

图4-4-2-1 邮箱信息

image.png

图4-4-2-2 加密数据信息

首先,通过指令地址的对应关系及指令长度可知该指令为Thumb指令,关于指令模式也可根据T标志位得知,T=0为ARM模式,T=1为Thumb模式;

若要解析ARM指令,首先要明确其指令模式,Thumb指令可以是16位也可以是32位,ARM指令为32位,而新版本的ARM已经64位了,寄存器也从R改为了X。ARM程序和Thumb程序可相互调用,相互之间的状态切换开销几乎为零。

通过分析可知,该应用为Thumb与arm指令结合使用,而关键的函数调用则为Thumb指令。

image.png

图4-4-2-3 函数指令模式

PUSH {R3,LR}与POP{R3,PC}用于开辟空间,申请了多少空间,当程序执行完毕后就需要释放多少空间,堆栈平衡原理,否则会造成地址或内存混乱程序崩溃;

使用LDR指令通过寄存器的寻址,加载R1寄存器。

邮箱账号:

此时R1寄存器取址为:R1,=(a100ab104ab108a - 0xDB0)

当前PC取址:00000DAC

a100ab104ab108a取址:rodata:00001FD0

取得如上字符串后,通过Bl指令跳转到JNIEnv,进行字符串转化,将值返回到调用者。

邮箱密码:

此时R1寄存器取址为:R1, =(a164ab164ab100a - 0xDC0)

当前PC取址:00000DAC

a100ab104ab108a取址:rodata:00001FD0

当前PC取址:00000DBC

取得如上字符串后,通过Bl指令跳转到JNIEnv,进行字符串转化,将值返回到调用者。

4.5 指令计算

因PC指令用来存放当前欲执行指令的地址,ARM是冯诺依曼结构,同时采用流水线工作原理,对于三级流水线(最少也是三级),有取址、译码、执行阶段。那么当执行当前语句时,PC的值就是指向下第2条指令(以当前指令为参考系),这就是我们所说的地址重定位,即地址重定位地址=偏移地址+当前PC地址因如上指令采用的为Thumb指令,当执行到PC时实际地址需+4,ARM指令模式需+8。所以得到如下计算

邮箱账号模块指令计算流程:

R1+PC=(a100ab104ab108a - 0xDB0)+DAC+4=1FD0-0xDB0+DAC+4=1FD0

即关键信息就在地址1FD0处,值的加密信息如下图

邮箱密码模块指令计算流程:

R1+PC=(a164ab164ab100a - 0xDC0)+DBC+4=202F-0xDC0+DBC+4=202F

即关键信息就在地址202F处,值的加密信息如下图

image.png

图4-5-1 寻址到的加密数据信息

4.6 解密

将拿到的本地数据通过拟写好的解密算法解密,该算法即是将拿到的字符串以“AB”字符分割,随后将分割出的字符逐个解析成整型进行算数运算(将所有值-51)最后再重组成新的字符串得以返回。

image.png

图4-6-1 解密算法封装

解密算法如下:

image.png

图4-6-2 解密算法

StringTokenizer是java中object类的一个子类,属于 java.util 包,用于分割字符串,该算法即是将拿到的字符串以“AB”字符分割。

image.png

图4-6-3 解密算法

解密后得到我们想要的本地关键数据,邮箱和密码

 image.png

图4-6-4 解密结果

也可通过码表得出上述结果

image.png

图4-6-5 通过码表匹配结果

5.    修复方法

当用户不慎安装恶意app后,处理方式有四个步骤,用户可以通过以下方法卸载:

(1)立即关闭所有网络连接(断开手机移动网络和wlan),在未删除app前,建议禁止网络连接;

(2)在手机设置的应用信息中找到应用图标,点击卸载;

(3)当恶意程序已经运行且隐藏了图标,此时应在手机正在运行的程序中,找到该应用停止并卸载,若已激活了设备管理器需找到管理器界面停止授权并卸载。

(4)如果以上方法都无法删除,备份一些重要数据到电脑,然后恢复出厂设置。如果不放心,也可选择重置手机,以此规避已经投放到手机上的恶意负载的攻击。

6.     安全建议

恒安嘉新暗影移动安全实验室在此提醒广大用户,不轻易相信陌生人,不轻易点击陌生人发送的链接,不轻易下载不安全应用,不安装非正规途径来源的APP。用户可以采用以下方式来阻止恶意软件攻击:

l  谨慎打开未知短信的下载链接。

l  避免点击网页中的链接或下载附件。

l  仅从受信任的来源下载应用程序,建议去正规的应用市场或官方下载。

l  适时升级系统,常做对手机进行扫描查杀


暗影移动安全实验室(EversecLab)是恒安嘉新移动安全能力的支撑部门,由移动安全、数据安全、人工智能、漏洞挖掘等众多领域专家组成,专注于移动安全技术创新与研究,以及移动互联网应用安全的生态建设,包括移动恶意程序分析、安全风险评估、信息安全检测、数据安全评估、黑灰产溯源挖掘、诈骗APP分析、隐私合规检测等等。自主研发第四代移动APP高速研判分析引擎,支持动态检测引擎(动态沙箱技术)、静态检测引擎、AI检测引擎,样本库积累千万级,PB级大数据存储处理技术等。可为客户提供海量应用的信息挖掘,精准、实时、高效的APP检测、情报数据收集、数据关联分析、情报线索扩展,大屏态势感知展示等等。

 “安全创造价值”–暗影移动安全实验室坚持以安全为核心,研究为己任,继续创新和开发解决用户问题和行业痛点的产品,为国家的网络安全事业保驾护航。

1.    概述

众所周知,Android是分层架构的。顶层应用层,Android会随系统一起打包一些核心应用(日历、短信、电话等),均是使用java语言编写;Java框架层也就是我们所说的Framework,里面主要为一些ActivityManagerService、PackageManageService等等,我们所编写的android代码能够正常的识别和动作都要依赖这一层的支持,由java语言实现;而Native层为一些本地服务和链接库,例如我们需要一个复杂的运算如果使用java去编写效率会很低,该层一般用c++开发,因语言的差异此时要与上层编写的java代码互通,就需要使用android中的jni机制;Android底层是在linux内核基础上做一些裁剪和定制,并运行了一个Dalvik/Art虚拟机,所有的应用都需要运行在虚拟机上。当程序代码趋向底层时对其的破译、逆向分析难度也就会增大从而安全性和隐蔽性也就有了良好的保障,而黑客也正是利用这一点对其开发的程序加上了一层保护伞。

近期,暗影实验室发现了一款app,此类恶意程序启动后,隐藏启动图标,防止用户主动查杀,而其真正目的是在后台窃取用户隐私。经过对该app的挖掘分析,发现其将自身的敏感且关键的信息写到了本地层,该篇文章即通过此示例讲述了Native层的逆向以及对ARM汇编代码的解析,最后提取出我们所需要的关键信息。

2.    样本信息

恶意程序基本信息如下表:

应用名称

样本md5

包名

相片

762B9874707BA9305914F4528D08CD2C

com.swift.a45

表2-1 样本基本信息

恶意程序安装信息如下图:

image.png

表2-2 样本安装信息

恶意程序签名信息如下表:

所有者

CN=8y9u43,OU=ht97uig,O=tiug543,L=yf54543,ST=uyfh543,C=86

发布者

CN=8y9u43,OU=ht97uig,O=tiug543,L=yf54543,ST=uyfh543,C=86

序列号

6BDF7DA9

证书MD5

8C63C8499087821D567D2EE16B8C57C3

证书SHA1

53760FC838C5C4DD7FCD825FBDAAA49A0B42EC0D

表2-3 样本签名信息

3.     Native层逆向逻辑分析流程

image.png

4.    代码分析

4.1 启动项与加载项

该程序采用传统的启动方式,即MainActivity的onCreate方法,随后通过Intent跳转到后台服务执行恶意操作。

image.png

图4-1-1 启动项

启动服务-关键信息切入点:

image.png

图4-1-2 加载项

4.2 NativeMethod

该应用为了提高隐蔽性已将个人数据隐藏至本地层,在启动服务后加载指定函数,调用本地方法,从本地拿取所需的关键数据。

image.png

图4-2-1 接入本地方法

image.png

图4-2-2加载so与本地方法

4.3 通过Jni完成函数的调用

JNI作为与本地数据传递的桥梁,通过其可以实现Java代码里调用C、C++等语言的代码,如下为加载到本地层的关键函数信息

image.png

图4-3-1 JNI函数调用模块

此时需注意通过JNI调用本地方法的书写方式:

  1. 格式      = Java_包名_类名_需要调用的方法名

  1. Java必须大写

  1. 对于包名,包名里的.要改成_,_要改成_1。

如包名为scut.carson_ho.ndk_demo,则需要改成scut_carson_1ho_ndk_1demo

4.4 解析ARM指令

找到调用的函数后,我们可以将其转换成汇编伪指令,进一步解读其含义,此时应注意code位数与指令模式以便进行偏移的计算。

4.4.1 ARM关键函数信息

邮箱信息指令逻辑

image.png

图4-4-1-1 arm-邮箱账号函数块

密码信息指令逻辑

image.png

图4-4-1-2 arm-邮箱密码函数块

号码信息指令逻辑

image.png

图4-4-1-3 arm-手机号信息

众所周知,25端口为SMTP协议主要用于发送邮件,也被很多木马程序所利用。

image.png

图4-4-1-4 arm-端口号及主机信息

4.4.2 ARM指令解析

因结构与计算方式大同小异,仅以上述邮箱和密码为例

image.png

图4-4-2-1 邮箱信息

image.png

图4-4-2-2 加密数据信息

首先,通过指令地址的对应关系及指令长度可知该指令为Thumb指令,关于指令模式也可根据T标志位得知,T=0为ARM模式,T=1为Thumb模式;

若要解析ARM指令,首先要明确其指令模式,Thumb指令可以是16位也可以是32位,ARM指令为32位,而新版本的ARM已经64位了,寄存器也从R改为了X。ARM程序和Thumb程序可相互调用,相互之间的状态切换开销几乎为零。

通过分析可知,该应用为Thumb与arm指令结合使用,而关键的函数调用则为Thumb指令。

image.png

图4-4-2-3 函数指令模式

PUSH {R3,LR}与POP{R3,PC}用于开辟空间,申请了多少空间,当程序执行完毕后就需要释放多少空间,堆栈平衡原理,否则会造成地址或内存混乱程序崩溃;

使用LDR指令通过寄存器的寻址,加载R1寄存器。

邮箱账号:

此时R1寄存器取址为:R1,=(a100ab104ab108a - 0xDB0)

当前PC取址:00000DAC

a100ab104ab108a取址:rodata:00001FD0

取得如上字符串后,通过Bl指令跳转到JNIEnv,进行字符串转化,将值返回到调用者。

邮箱密码:

此时R1寄存器取址为:R1, =(a164ab164ab100a - 0xDC0)

当前PC取址:00000DAC

a100ab104ab108a取址:rodata:00001FD0

当前PC取址:00000DBC

取得如上字符串后,通过Bl指令跳转到JNIEnv,进行字符串转化,将值返回到调用者。

4.5 指令计算

因PC指令用来存放当前欲执行指令的地址,ARM是冯诺依曼结构,同时采用流水线工作原理,对于三级流水线(最少也是三级),有取址、译码、执行阶段。那么当执行当前语句时,PC的值就是指向下第2条指令(以当前指令为参考系),这就是我们所说的地址重定位,即地址重定位地址=偏移地址+当前PC地址因如上指令采用的为Thumb指令,当执行到PC时实际地址需+4,ARM指令模式需+8。所以得到如下计算

邮箱账号模块指令计算流程:

R1+PC=(a100ab104ab108a - 0xDB0)+DAC+4=1FD0-0xDB0+DAC+4=1FD0

即关键信息就在地址1FD0处,值的加密信息如下图

邮箱密码模块指令计算流程:

R1+PC=(a164ab164ab100a - 0xDC0)+DBC+4=202F-0xDC0+DBC+4=202F

即关键信息就在地址202F处,值的加密信息如下图

image.png

图4-5-1 寻址到的加密数据信息

4.6 解密

将拿到的本地数据通过拟写好的解密算法解密,该算法即是将拿到的字符串以“AB”字符分割,随后将分割出的字符逐个解析成整型进行算数运算(将所有值-51)最后再重组成新的字符串得以返回。

image.png

图4-6-1 解密算法封装

解密算法如下:

image.png

图4-6-2 解密算法

StringTokenizer是java中object类的一个子类,属于 java.util 包,用于分割字符串,该算法即是将拿到的字符串以“AB”字符分割。

image.png

图4-6-3 解密算法

解密后得到我们想要的本地关键数据,邮箱和密码

 image.png

图4-6-4 解密结果

也可通过码表得出上述结果

image.png

图4-6-5 通过码表匹配结果

5.    修复方法

当用户不慎安装恶意app后,处理方式有四个步骤,用户可以通过以下方法卸载:

(1)立即关闭所有网络连接(断开手机移动网络和wlan),在未删除app前,建议禁止网络连接;

(2)在手机设置的应用信息中找到应用图标,点击卸载;

(3)当恶意程序已经运行且隐藏了图标,此时应在手机正在运行的程序中,找到该应用停止并卸载,若已激活了设备管理器需找到管理器界面停止授权并卸载。

(4)如果以上方法都无法删除,备份一些重要数据到电脑,然后恢复出厂设置。如果不放心,也可选择重置手机,以此规避已经投放到手机上的恶意负载的攻击。

6.     安全建议

恒安嘉新暗影移动安全实验室在此提醒广大用户,不轻易相信陌生人,不轻易点击陌生人发送的链接,不轻易下载不安全应用,不安装非正规途径来源的APP。用户可以采用以下方式来阻止恶意软件攻击:

l  谨慎打开未知短信的下载链接。

l  避免点击网页中的链接或下载附件。

l  仅从受信任的来源下载应用程序,建议去正规的应用市场或官方下载。

l  适时升级系统,常做对手机进行扫描查杀


暗影移动安全实验室(EversecLab)是恒安嘉新移动安全能力的支撑部门,由移动安全、数据安全、人工智能、漏洞挖掘等众多领域专家组成,专注于移动安全技术创新与研究,以及移动互联网应用安全的生态建设,包括移动恶意程序分析、安全风险评估、信息安全检测、数据安全评估、黑灰产溯源挖掘、诈骗APP分析、隐私合规检测等等。自主研发第四代移动APP高速研判分析引擎,支持动态检测引擎(动态沙箱技术)、静态检测引擎、AI检测引擎,样本库积累千万级,PB级大数据存储处理技术等。可为客户提供海量应用的信息挖掘,精准、实时、高效的APP检测、情报数据收集、数据关联分析、情报线索扩展,大屏态势感知展示等等。

 “安全创造价值”–暗影移动安全实验室坚持以安全为核心,研究为己任,继续创新和开发解决用户问题和行业痛点的产品,为国家的网络安全事业保驾护航。

1. 概述

恶意软件尤其是银行木马的花招总是日新月异。此前有伪造目标银行的登录界面以窃取登录凭证的Thief Bot,有基于记录键盘输入信息以窃取密钥的 Loki Bot,有监控用户屏幕并获取用户短信验证消息的Tea Bot。近期出现了一种名为Fakecalls的新型银行木马,除了常见的隐私窃取功能外,它还可以通过拦截银行与用户之间的通话从而冒充银行员工进行诈骗和窃取。

2. 样本信息

样本名称

KB국민은행

样本包名

com.hana.activity1632322274

样本版本

3.0.0

样本MD5

aa532eab3a54417a8c1c89a6da064696

样本签名

[email protected], CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US

签名MD5

e89b158e4bcf988ebd09eb83f5378e87

样本图标

图标.png 

3. 样本运行流程

图片1.png 

图 1 总体流程图

4. 行为分析

获取权限

设置targetSdkVersion为22,可一次性获取所有隐私权限。

图片2.png

图 2 隐私权限申请

通过无障碍设置自身为默认电话应用,增加触发几率。请求无障碍功能权限:

图片3.png 

图 3 无障碍权限申请

频繁设置默认拨号器,阻止用户使用自带拨号打电话:

图片4.png 

图 4 更改默认拨号器

仿冒银行界面

运行界面如下:

图片5-1.png  图片5-2.png

图 5 运行界面

从样本的图片资源来看,其家族目标App数量众多。

图片6.png 

图 6 其余仿冒图标

主要功能

监听拨号

筛选归属地以针对韩国号码用户。

图片7.png 

图 7 筛选82

展示伪造通话页面,设置显示用户拨打的真实电话。

图片8.png 

图 8 展示假界面

完整样本中会播放准备好的客服录音。

监听通话关闭,及时退出伪造页面。

图片9.png 

图 9 关闭假界面

上传本次操作日志。

图片10.png 

图片10-2.png 

图 10 两种上传方式

监听呼入

挂断正常渠道呼入的客户电话,设置自身电话显示为正常客户电话以进行诈骗。

图片11.png 

图 11 监听呼入action

图片12.png 

图 12 挂断电话

监听通话记录

及时删除通话记录,以免用户察觉。

图片13.png 

图片13-1.png 

图 13 篡改通话记录

其他功能

上传位置

监听位置变化并上传至服务器。

图片14.png 

图片14-2.png 

图 14 上传位置

录音

录音并上传。

图片15.png 

图片15-2.png 

图 15 录音

实时录像

录像流内容推送至服务器,相当于直播。

图片16.png 

图 16 录像

保活功能

设置多个监听以随时重启主服务。

图片17.png 

图片17-2.png 

图 17 重启主服务

更新客服电话。

图片18.png 

图 18 更新电话

定时更新主控地址。

图片19.png 

图 19 更新主控

主控地址

目前该主控地址已失效。

IP地址

归属地

20*.1*9.*.*1

香港

15*.2*5.*5.1*

香港

*3.2*5.1*.1*

香港

5. 修复方法

一旦中招,用户及时修改自己的个人账户和密码,尽快卸载该应用,用户可以通过以下三种方法进行卸载:

(1)立即关闭所有网络连接(断开手机移动网络和WLAN),在未删除APP前,建议禁止网络连接;

(2)在手机设置的应用信息中找到应用图标,点击卸载;

(3)如果以上方法都无法删除,备份一些重要数据到电脑,然后恢复出厂设置。如果不放心,也可选择重置手机,以此规避已经投放到手机上的恶意负载的攻击。

6. 安全建议

恒安嘉新暗影移动安全实验室在此提醒广大用户,不轻易相信陌生人,不轻易点击陌生人发送的链接,不轻易下载不安全应用,不安装非正规途径来源的APP。

l 谨慎打开未知短信的下载链接。

l 避免点击网页中的链接或下载附件。

l 仅从受信任的来源下载应用程序,建议去正规的应用市场或官方下载。

==================================================

暗影移动安全实验室(EversecLab)是恒安嘉新移动安全能力的支撑部门,由移动安全、数据安全、人工智能、漏洞挖掘等众多领域专家组成,专注于移动安全技术创新与研究,以及移动互联网应用安全的生态建设,包括移动恶意程序分析、安全风险评估、信息安全检测、数据安全评估、黑灰产溯源挖掘、诈骗APP分析、隐私合规检测等等。自主研发第四代移动APP高速研判分析引擎,支持动态检测引擎(动态沙箱技术)、静态检测引擎、AI检测引擎,样本库积累千万级,PB级大数据存储处理技术等。可为客户提供海量应用的信息挖掘,精准、实时、高效的APP检测、情报数据收集、数据关联分析、情报线索扩展,大屏态势感知展示等等。

 “安全创造价值”–暗影移动安全实验室坚持以安全为核心,研究为己任,继续创新和开发解决用户问题和行业痛点的产品,为国家的网络安全事业保驾护航。

==================================================

1. 概述

恶意软件尤其是银行木马的花招总是日新月异。此前有伪造目标银行的登录界面以窃取登录凭证的Thief Bot,有基于记录键盘输入信息以窃取密钥的 Loki Bot,有监控用户屏幕并获取用户短信验证消息的Tea Bot。近期出现了一种名为Fakecalls的新型银行木马,除了常见的隐私窃取功能外,它还可以通过拦截银行与用户之间的通话从而冒充银行员工进行诈骗和窃取。

2. 样本信息

样本名称

KB국민은행

样本包名

com.hana.activity1632322274

样本版本

3.0.0

样本MD5

aa532eab3a54417a8c1c89a6da064696

样本签名

[email protected], CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US

签名MD5

e89b158e4bcf988ebd09eb83f5378e87

样本图标

图标.png 

3. 样本运行流程

图片1.png 

图 1 总体流程图

4. 行为分析

获取权限

设置targetSdkVersion为22,可一次性获取所有隐私权限。

图片2.png

图 2 隐私权限申请

通过无障碍设置自身为默认电话应用,增加触发几率。请求无障碍功能权限:

图片3.png 

图 3 无障碍权限申请

频繁设置默认拨号器,阻止用户使用自带拨号打电话:

图片4.png 

图 4 更改默认拨号器

仿冒银行界面

运行界面如下:

图片5-1.png  图片5-2.png

图 5 运行界面

从样本的图片资源来看,其家族目标App数量众多。

图片6.png 

图 6 其余仿冒图标

主要功能

监听拨号

筛选归属地以针对韩国号码用户。

图片7.png 

图 7 筛选82

展示伪造通话页面,设置显示用户拨打的真实电话。

图片8.png 

图 8 展示假界面

完整样本中会播放准备好的客服录音。

监听通话关闭,及时退出伪造页面。

图片9.png 

图 9 关闭假界面

上传本次操作日志。

图片10.png 

图片10-2.png 

图 10 两种上传方式

监听呼入

挂断正常渠道呼入的客户电话,设置自身电话显示为正常客户电话以进行诈骗。

图片11.png 

图 11 监听呼入action

图片12.png 

图 12 挂断电话

监听通话记录

及时删除通话记录,以免用户察觉。

图片13.png 

图片13-1.png 

图 13 篡改通话记录

其他功能

上传位置

监听位置变化并上传至服务器。

图片14.png 

图片14-2.png 

图 14 上传位置

录音

录音并上传。

图片15.png 

图片15-2.png 

图 15 录音

实时录像

录像流内容推送至服务器,相当于直播。

图片16.png 

图 16 录像

保活功能

设置多个监听以随时重启主服务。

图片17.png 

图片17-2.png 

图 17 重启主服务

更新客服电话。

图片18.png 

图 18 更新电话

定时更新主控地址。

图片19.png 

图 19 更新主控

主控地址

目前该主控地址已失效。

IP地址

归属地

20*.1*9.*.*1

香港

15*.2*5.*5.1*

香港

*3.2*5.1*.1*

香港

5. 修复方法

一旦中招,用户及时修改自己的个人账户和密码,尽快卸载该应用,用户可以通过以下三种方法进行卸载:

(1)立即关闭所有网络连接(断开手机移动网络和WLAN),在未删除APP前,建议禁止网络连接;

(2)在手机设置的应用信息中找到应用图标,点击卸载;

(3)如果以上方法都无法删除,备份一些重要数据到电脑,然后恢复出厂设置。如果不放心,也可选择重置手机,以此规避已经投放到手机上的恶意负载的攻击。

6. 安全建议

恒安嘉新暗影移动安全实验室在此提醒广大用户,不轻易相信陌生人,不轻易点击陌生人发送的链接,不轻易下载不安全应用,不安装非正规途径来源的APP。

l 谨慎打开未知短信的下载链接。

l 避免点击网页中的链接或下载附件。

l 仅从受信任的来源下载应用程序,建议去正规的应用市场或官方下载。

==================================================

暗影移动安全实验室(EversecLab)是恒安嘉新移动安全能力的支撑部门,由移动安全、数据安全、人工智能、漏洞挖掘等众多领域专家组成,专注于移动安全技术创新与研究,以及移动互联网应用安全的生态建设,包括移动恶意程序分析、安全风险评估、信息安全检测、数据安全评估、黑灰产溯源挖掘、诈骗APP分析、隐私合规检测等等。自主研发第四代移动APP高速研判分析引擎,支持动态检测引擎(动态沙箱技术)、静态检测引擎、AI检测引擎,样本库积累千万级,PB级大数据存储处理技术等。可为客户提供海量应用的信息挖掘,精准、实时、高效的APP检测、情报数据收集、数据关联分析、情报线索扩展,大屏态势感知展示等等。

 “安全创造价值”–暗影移动安全实验室坚持以安全为核心,研究为己任,继续创新和开发解决用户问题和行业痛点的产品,为国家的网络安全事业保驾护航。

==================================================

1. 概述

银行恶意软件一直都是我们暗影实验室关注的重点。近期,意大利出现了一种新型的Android恶意软件,研究人员发现它与目前已知的银行木马家族都不相关,命名这款新型的银行木马家族为TeaBot(也有命名为Anatsa)。

该恶意软件最初出现时间是在2020年12月初,它伪装成“VLC_MediaPlayer”,“TeaTV”应用程序。TeaBot家族恶意软件的其主要目标是窃取用户凭证信息和短信消息,用于已预先设计好的银行欺诈方案。

目前,TeaBot似乎处于开发的早期阶段。2021年3月,发现意大利银行的相关注入模块,2021年5月,发现比利时和荷兰银行的注入

用户在成功安装TeaBot后,攻击者就可以随时实时获取设备屏幕,并通过AccessibilityServices交互,窃取用户隐私信息,根据用户安装的应用列表,获知已安装的银行应用,并分发已预先设计好的银行欺诈注入代码,诱导用户登录,操作等,并获取用户短信验证消息,最终导致用户个人信息泄露和财产损失,安装图标如下:

VLC_MediaPlayer

TeaTV

2. 样本信息

表2-1 样本基本信息

111.png

3. 程序运行流程图

图3-1 TeaBot程序运行流程图

4. 样本分析

4.1 静态分析

4.1.1 增高安全分析难度

4.1.1.1 dex动态加载

在启动恶意软件后,先执行自定义Application类的attachBaseContext方法,然后执行ghostincome方法动态加载assets文件路径内的rA.json文件。rA.json文件是一个加密的dex文件,恶意代码模块主要集中在rA.json文件内。

图4-1-1 动态加载rA.json文件过程

4.1.1.2 使用XOR加密算法

通过静态分析发现,该样本使用XOR加密算法对部分网络通信进行加密。

图4-1-2 XOR加密

4.1.2 TeaBot支持6种语言

通过逆向分析代码发现,TeaBot检索银行app时,判断的结果使用了6种语言(西班牙语,英语,意大利语,德语,法语和荷兰语)。

图4-1-3 支持6种语言

4.1.3 主要功能

4.1.3.1 跟踪记录

通过使用Android无障碍服务,TeaBot能够观察和跟踪用户在目标应用程序上执行的所有信息,并将关键的跟踪信息通过SharedPreferences储存到config.xml配置文件中。TeaBot在与C&C服务器进行首次通信时,会发送已安装应用程序的列表,以验证受感染的设备是否已安装一个或多个目标应用程序。当其中有一个匹配时,它会下载特定的WebView以执行覆盖攻击,并开始跟踪用户在目标应用程序上执行的所有活动。这些信息都是每间隔10秒发送到指定的C&C服务器。下图为代码模块和config文件:

服务器地址:185.*.*.31:80

图4-1-4 发送请求获取检索应用代码

图4-1-5 写入config.xml

配置文件中包含需要检索的应用包名、远控指令执行状态、C2服务器的url等。远控和检索包名等功能都是在无障碍服务的onAccessibilityEvent方法中执行的。

4.1.3.2 屏幕截图

TeaBot可以进行屏幕截图来不断监视受感染设备的屏幕。当用户启动恶意软件后,Teabot发送包含设备信息的post请求至C&C服务器,服务器返回信息中如果含有一套IP地址和PORT的“ start_client ”命令时,开始启动截图。TeaBot启动一个循环,在该循环中创建一个“VirtualScreen”以获取屏幕截图。

1)发送post请求到服务器

服务器地址:185.215.***.31:80

图4-1-6 发送post请求

2)服务器返回“start_client”指令

图4-1-7 解析返回指令“start_client”

3)启动截屏模块

图4-1-8 启动截屏模块

4.1.3.3 覆盖攻击

覆盖攻击是一种Android银行木马(例如Anubis,Cerberus)普遍的技术手段,虚假的界面覆盖能够迷惑和诱骗用户信以为真,继而窃取用户的个人隐私。

通常有两种方式:1、伪造虚假的银行app并启用;2、在合法应用程序(例如银行应用程序)的上层启动一个虚假的WebView来迷惑和欺诈用户。TeaBot能够对多个银行应用程序执行覆盖攻击,以窃取登录凭据和银行卡信息。

图4-1-9 覆盖攻击模块

根据抓包和恶意代码分析,总结了覆盖攻击的流程图如下:

1)先判断是否含有特定的银行应用包名,然后下载注入模块。

2)用户打开银行应用,操作的数据会上传C2服务器,C2服务器返回覆盖攻击的远控指令。

3)虚假的webview会覆盖真实的银行app界面,诱导用户输入登录凭证。

4)窃取的用户隐私通过加密的POST请求上传至C2服务器。

图4-1-10 覆盖攻击流程图

4.1.3.4 其他功能

1)能够拦截/隐藏短信

恶意软件具有拦截/隐藏短信的功能,拦截的短信信息会通过每隔10s的post加密请求发送到C2服务器(服务器地址:185.215.***.31:80),其主要目的是获取用户银行登录或修改密码的短信验证。隐藏短信的主要目的是隐秘的修改或登录用户银行账号,防止用户发现。

图4-1-11 拦截短信

图4-1-12 隐藏短信

2)能够窃取Google身份验证code

图4-1-13 窃取Google身份验证code

3) 远程控制Android设备

恶意软件通过无障碍辅助功能和实时屏幕共享,将收集的信息、截图实时上传至服务器(服务器地址:185.215.***.31:80),再通过解析服务器的返回,获取远控指令,并通过无障碍辅助功能实现其远控功能。如下图是无障碍辅助功能开启后,onAccessibilityEvent方法中的远控操作:

图4-1-14 远程操作

更多远控指令详见“表4-1远控指令列表”,以下是其中一个远控操作(获取用户账号信息),如下图所示:

图4-1-15 远程操作-获取用户账号信息

4.2 动态分析

4.2.1 启用无障碍辅助服务

I. 此类木马在启动后,会诱骗用户开启无障碍辅助服务(AccessibilityService)。此服务设计初衷在于帮助残障用户使用android设备和应用,启动后在后台运行,可以监听用户界面的状态。如下图所示:

企业微信截图_20210521153653.png

此恶意程序通过此服务监听用户手机界面变化,同时会禁止用户查看应用程序列表,禁止用户关闭无障碍模式,阻止用户卸载此应用。一般用户极难卸载此类木马。

II. 开启无障碍辅助服务后,TeaBot会请求敏感的android权限,如下图:

企业微信截图_20210521153704.png

图4-2-1 诱骗用户开启无障碍辅助服务

222.png

III. 接受请求的权限后,恶意应用程序将从设备中删除自身的图标。删除图标后,此恶意程序依然在后台运行,与C&C服务器通信并持续监控和窃取用户数据,然而用户却并不知情。

4.2.2 在后台与C&C服务器通信

4.2.2.1 使用http协议通信

通过抓包发现恶意程序和C&C之间的通信使用的是http协议。服务器地址:185.215.***.31:80

图4-2-2 wireshark抓包数据

如图所示,根据其网络通讯内容和功能,将与C&C服务器的通信分为3个阶段:

1)Uricontent:/api/botupdate

从抓包数据中可以发现,TeaBot恶意软件每10秒钟发送一次POST请求,其中包含有关受感染设备的所有信息(图4-2-7网络数据加密部分详解)。

图4-2-3 第一次请求botupdate

C&C服务器返回信息使用异或XOR解密,如下图:

图4-2-4 C2返回信息解密

该响应通常由配置更新组成(例如C2地址,远控命令启动等)。

2)Uricontent:/api/getkeyloggers

 每10秒钟TeaBot执行一次GET请求,以检索跟踪记录功能所收到的应用程序列表。

图4-2-5 第二次请求getkeyloggers

3)Uricontent:/api/getkeylogge

TeaBot发送包含受感染设备上安装的所有程序包名称的JSON文件(未加密)的POST请求。通过这些信息,C&C服务器就能知道是否有一个或多个目标应用程序,并响应下载相关的注入。

图4-2-6 第三次请求getbotinjects

4.2.2.2 使用XOR异或加密流量

通过逆向恶意代码模块,发现其加密部分使用了XOR异或加密。

图4-2-7 网络数据加密部分详解

4.2.2.3 远控命令

恶意程序通过onAccessibilityEvent方法实施远控操作,包含的远控指令,如下表所示:


表4-2远控指令列表
333.png

4.3 服务器地址

表4-3 服务器地址分布

444.png

5. 应用危害

此类银行木马的危害十分严重,一旦安装后,用户的所有信息将被窃取,并且还会实时的监控用户的使用状态、截屏上传服务器。此木马最大的危害是对银行信息的窃取,其使用的覆盖攻击可以以假乱真,在用户不知情的情况下,轻松获取用户的凭证和短信信息。对用户造成财产损失。虽然目前TeaBot只是针对欧洲银行,但是不排除会增加其他国家的银行注入,所以此类木马家族还需要持续关注。

6. 安全建议

  • 此恶意软件对自身实时了保护,用户通常难以卸载。

(1)立即关闭所有网络连接(断开手机移动网络和wlan),在未删除app前,建议禁止网络连接;

(2)使用adb指令删除恶意软件;

(3)如果以上方法都无法删除,备份一些重要数据到电脑,然后恢复出厂设置。

  • 用户安装所需软件,建议去正规的应用市场下载、去官方下载。

  • 在手机当中安装必要的安全软件,并保持安全软件更新。

1. 概述

银行恶意软件一直都是我们暗影实验室关注的重点。近期,意大利出现了一种新型的Android恶意软件,研究人员发现它与目前已知的银行木马家族都不相关,命名这款新型的银行木马家族为TeaBot(也有命名为Anatsa)。

该恶意软件最初出现时间是在2020年12月初,它伪装成“VLC_MediaPlayer”,“TeaTV”应用程序。TeaBot家族恶意软件的其主要目标是窃取用户凭证信息和短信消息,用于已预先设计好的银行欺诈方案。

目前,TeaBot似乎处于开发的早期阶段。2021年3月,发现意大利银行的相关注入模块,2021年5月,发现比利时和荷兰银行的注入

用户在成功安装TeaBot后,攻击者就可以随时实时获取设备屏幕,并通过AccessibilityServices交互,窃取用户隐私信息,根据用户安装的应用列表,获知已安装的银行应用,并分发已预先设计好的银行欺诈注入代码,诱导用户登录,操作等,并获取用户短信验证消息,最终导致用户个人信息泄露和财产损失,安装图标如下:

VLC_MediaPlayer

TeaTV

2. 样本信息

表2-1 样本基本信息

111.png

3. 程序运行流程图

图3-1 TeaBot程序运行流程图

4. 样本分析

4.1 静态分析

4.1.1 增高安全分析难度

4.1.1.1 dex动态加载

在启动恶意软件后,先执行自定义Application类的attachBaseContext方法,然后执行ghostincome方法动态加载assets文件路径内的rA.json文件。rA.json文件是一个加密的dex文件,恶意代码模块主要集中在rA.json文件内。

图4-1-1 动态加载rA.json文件过程

4.1.1.2 使用XOR加密算法

通过静态分析发现,该样本使用XOR加密算法对部分网络通信进行加密。

图4-1-2 XOR加密

4.1.2 TeaBot支持6种语言

通过逆向分析代码发现,TeaBot检索银行app时,判断的结果使用了6种语言(西班牙语,英语,意大利语,德语,法语和荷兰语)。

图4-1-3 支持6种语言

4.1.3 主要功能

4.1.3.1 跟踪记录

通过使用Android无障碍服务,TeaBot能够观察和跟踪用户在目标应用程序上执行的所有信息,并将关键的跟踪信息通过SharedPreferences储存到config.xml配置文件中。TeaBot在与C&C服务器进行首次通信时,会发送已安装应用程序的列表,以验证受感染的设备是否已安装一个或多个目标应用程序。当其中有一个匹配时,它会下载特定的WebView以执行覆盖攻击,并开始跟踪用户在目标应用程序上执行的所有活动。这些信息都是每间隔10秒发送到指定的C&C服务器。下图为代码模块和config文件:

服务器地址:185.*.*.31:80

图4-1-4 发送请求获取检索应用代码

图4-1-5 写入config.xml

配置文件中包含需要检索的应用包名、远控指令执行状态、C2服务器的url等。远控和检索包名等功能都是在无障碍服务的onAccessibilityEvent方法中执行的。

4.1.3.2 屏幕截图

TeaBot可以进行屏幕截图来不断监视受感染设备的屏幕。当用户启动恶意软件后,Teabot发送包含设备信息的post请求至C&C服务器,服务器返回信息中如果含有一套IP地址和PORT的“ start_client ”命令时,开始启动截图。TeaBot启动一个循环,在该循环中创建一个“VirtualScreen”以获取屏幕截图。

1)发送post请求到服务器

服务器地址:185.215.***.31:80

图4-1-6 发送post请求

2)服务器返回“start_client”指令

图4-1-7 解析返回指令“start_client”

3)启动截屏模块

图4-1-8 启动截屏模块

4.1.3.3 覆盖攻击

覆盖攻击是一种Android银行木马(例如Anubis,Cerberus)普遍的技术手段,虚假的界面覆盖能够迷惑和诱骗用户信以为真,继而窃取用户的个人隐私。

通常有两种方式:1、伪造虚假的银行app并启用;2、在合法应用程序(例如银行应用程序)的上层启动一个虚假的WebView来迷惑和欺诈用户。TeaBot能够对多个银行应用程序执行覆盖攻击,以窃取登录凭据和银行卡信息。

图4-1-9 覆盖攻击模块

根据抓包和恶意代码分析,总结了覆盖攻击的流程图如下:

1)先判断是否含有特定的银行应用包名,然后下载注入模块。

2)用户打开银行应用,操作的数据会上传C2服务器,C2服务器返回覆盖攻击的远控指令。

3)虚假的webview会覆盖真实的银行app界面,诱导用户输入登录凭证。

4)窃取的用户隐私通过加密的POST请求上传至C2服务器。

图4-1-10 覆盖攻击流程图

4.1.3.4 其他功能

1)能够拦截/隐藏短信

恶意软件具有拦截/隐藏短信的功能,拦截的短信信息会通过每隔10s的post加密请求发送到C2服务器(服务器地址:185.215.***.31:80),其主要目的是获取用户银行登录或修改密码的短信验证。隐藏短信的主要目的是隐秘的修改或登录用户银行账号,防止用户发现。

图4-1-11 拦截短信

图4-1-12 隐藏短信

2)能够窃取Google身份验证code

图4-1-13 窃取Google身份验证code

3) 远程控制Android设备

恶意软件通过无障碍辅助功能和实时屏幕共享,将收集的信息、截图实时上传至服务器(服务器地址:185.215.***.31:80),再通过解析服务器的返回,获取远控指令,并通过无障碍辅助功能实现其远控功能。如下图是无障碍辅助功能开启后,onAccessibilityEvent方法中的远控操作:

图4-1-14 远程操作

更多远控指令详见“表4-1远控指令列表”,以下是其中一个远控操作(获取用户账号信息),如下图所示:

图4-1-15 远程操作-获取用户账号信息

4.2 动态分析

4.2.1 启用无障碍辅助服务

I. 此类木马在启动后,会诱骗用户开启无障碍辅助服务(AccessibilityService)。此服务设计初衷在于帮助残障用户使用android设备和应用,启动后在后台运行,可以监听用户界面的状态。如下图所示:

企业微信截图_20210521153653.png

此恶意程序通过此服务监听用户手机界面变化,同时会禁止用户查看应用程序列表,禁止用户关闭无障碍模式,阻止用户卸载此应用。一般用户极难卸载此类木马。

II. 开启无障碍辅助服务后,TeaBot会请求敏感的android权限,如下图:

企业微信截图_20210521153704.png

图4-2-1 诱骗用户开启无障碍辅助服务

222.png

III. 接受请求的权限后,恶意应用程序将从设备中删除自身的图标。删除图标后,此恶意程序依然在后台运行,与C&C服务器通信并持续监控和窃取用户数据,然而用户却并不知情。

4.2.2 在后台与C&C服务器通信

4.2.2.1 使用http协议通信

通过抓包发现恶意程序和C&C之间的通信使用的是http协议。服务器地址:185.215.***.31:80

图4-2-2 wireshark抓包数据

如图所示,根据其网络通讯内容和功能,将与C&C服务器的通信分为3个阶段:

1)Uricontent:/api/botupdate

从抓包数据中可以发现,TeaBot恶意软件每10秒钟发送一次POST请求,其中包含有关受感染设备的所有信息(图4-2-7网络数据加密部分详解)。

图4-2-3 第一次请求botupdate

C&C服务器返回信息使用异或XOR解密,如下图:

图4-2-4 C2返回信息解密

该响应通常由配置更新组成(例如C2地址,远控命令启动等)。

2)Uricontent:/api/getkeyloggers

 每10秒钟TeaBot执行一次GET请求,以检索跟踪记录功能所收到的应用程序列表。

图4-2-5 第二次请求getkeyloggers

3)Uricontent:/api/getkeylogge

TeaBot发送包含受感染设备上安装的所有程序包名称的JSON文件(未加密)的POST请求。通过这些信息,C&C服务器就能知道是否有一个或多个目标应用程序,并响应下载相关的注入。

图4-2-6 第三次请求getbotinjects

4.2.2.2 使用XOR异或加密流量

通过逆向恶意代码模块,发现其加密部分使用了XOR异或加密。

图4-2-7 网络数据加密部分详解

4.2.2.3 远控命令

恶意程序通过onAccessibilityEvent方法实施远控操作,包含的远控指令,如下表所示:


表4-2远控指令列表
333.png

4.3 服务器地址

表4-3 服务器地址分布

444.png

5. 应用危害

此类银行木马的危害十分严重,一旦安装后,用户的所有信息将被窃取,并且还会实时的监控用户的使用状态、截屏上传服务器。此木马最大的危害是对银行信息的窃取,其使用的覆盖攻击可以以假乱真,在用户不知情的情况下,轻松获取用户的凭证和短信信息。对用户造成财产损失。虽然目前TeaBot只是针对欧洲银行,但是不排除会增加其他国家的银行注入,所以此类木马家族还需要持续关注。

6. 安全建议

  • 此恶意软件对自身实时了保护,用户通常难以卸载。

(1)立即关闭所有网络连接(断开手机移动网络和wlan),在未删除app前,建议禁止网络连接;

(2)使用adb指令删除恶意软件;

(3)如果以上方法都无法删除,备份一些重要数据到电脑,然后恢复出厂设置。

  • 用户安装所需软件,建议去正规的应用市场下载、去官方下载。

  • 在手机当中安装必要的安全软件,并保持安全软件更新。

1. 背景

2021年3月初,暗影实验室就发现了几个针对西班牙投放的移动端木马,这些木马从代码结构,到主控地址,到安装名称,再到针对的对象都是极其相似,这是一个有具有针对性的木马传播事件,APP通过仿冒西班牙邮政快递及国际知名快递诱导用户安装使用,从而获取用户设备上的各种敏感信息。

本次发现的APP大致分为两类:一类是仿冒西班牙邮政快递(Correos),一类是仿冒国际知名快递(DHL、FedEx)。

此类木马针对安卓5.0系统到安卓9.0系统,危害范围比较大。需要注意的是,此类木马在启动后,会诱骗用户开启无障碍辅助服务(AccessibilityService)。此服务设计初衷在于帮助残障用户使用android设备和应用,在后台运行,可以监听用户界面的一些状态转换。木马通过此服务监听用户手机界面变化,禁止用户查看应用程序列表,阻止用户卸载此应用。一般用户极难卸载此类木马。

仿冒西班牙邮政快递及国际知名快递的木马通过相同或者相似的安装图标及安装名称诱导用户下载安装,然后通过开启无障碍辅助服务之后,后台获取用户设备上的短信及联系人等信息上传到服务器。

2. 木马分析

2.1 信息汇总

本次发现的APP主要伪装成西班牙邮政快递应用、国际知名快递应用。

MD5


安装名


图标


最低兼容版本


74F88D5480AEFE165721C36100DCF89A


DHL



Android5.0


CBCEE88707CD523D7F1131F26E9DD4AF


Correos



Android5.0


CBCEE88707CD523D7F1131F26E9DD4AF


Correos



Android5.0


1A2A4044CF18EED59E66C413DB766145


FedEx



Android5.0


B991622168F7787CB1A89FC2BDD38A30


FedEx



Android5.0


2.2 运行分析

运行本次发现的木马发现界面极其简单,仿冒西班牙邮政快递、全球著名快递的APP应用图标、应用名称均与快递公司官网图标相似,用户难以区分真伪。

企业微信截图_20210330103602.png

图1-1 仿冒图标

木马启动后诱导用户开启无障碍辅助服务,隐藏图标,并监听用户界面,防止卸载。

企业微信截图_20210330103727.png

图1-2 请求开启无障碍辅助服务并隐藏图标

除此以外,仿冒APP均由随机字母组成的域名前缀加上.ru或者.com域名后缀组成多个域名并启动多个线程进行上传用户隐私信息。

图1-3 随机字母组成域名

通过抓包,发现了多个域名:

图1-4 抓包数据

域名如下:

· http://egus****rrmqvj.ru/poll.php

· http://pde****holjjkn.com/poll.php

· http://lnnr****cbmdhn.com/poll.php

· http://icim****dffbr.com/poll.php

· http://bm****ttkswfh.com/poll.php

· http://we****pgfumtk.com/poll.php

· http://bfw****cedupj.com/poll.php

· http://nfiu****tasnuk.com/poll.php

· http://afh****cjbpln.com/poll.php

· http://uh****ablfmwm.com/poll.php

· http://ao****wqhuokpd.ru/poll.php

· http://ap****drpokfbc.com/poll.php

· http://gb****vsgkvkdh.ru/poll.php

经过分析,发现只有4个域名还能进行访问:

图1-5 有效域名

IP地址均位于境外。

http://egusn****rmqvj.ru/poll.php


德国


http://wenk****gfumtk.com/poll.php


美国


http://nfiue****snuk.com/poll.php


法国


http://gbm****sgkvkdh.ru/poll.php


美国


2.3 指令解析

2.3.1 指令获取

木马通过向指定域名上传用户设备的一些基本信息来下发指令。

图1-6 服务器下发指令

在获得服务器发送的指令后,程序根据指令进行不同的操作。

图1-7 解析指令

2.3.2 oder指令

木马指令进行了一定程度的加密混淆,使分析木马比较困难。

图1-8 指令经过加密混淆

经过测试进行解密后得到指令内容。

图1-9 解密后指令

下图是不同功能的order指令,一共十二种。

1)BLOCK

收到该指令后,程序会停止50秒:

图1-10 程序休眠指令

2)CARD_BLOCK

收到该指令后,启动一个新的线程开启SOCK客户端:


图1-11开启SOCK客户端

3)OPEN_URL

收到此指令后,程序会打开指定内容的界面:

图1-12 打开指定界面

4)RUN_USSD

收到该指令后,程序启动无障碍辅助服务:

图1-13 启动无障碍辅助服务

5)DISABLE_PLAY_PROTECT

收到该指令,程序关闭设备的GooglePlay Protect功能:

图1-14 关闭设备的GooglePlay Protect功能

6)RELOAD_INJECTS

收到该指令后,获取用户设备已安装应用程序列表并上传到服务器:

图1-15 获取设备已安装应用列表

7)SEND_SMS

收到该指令后,发送短信到指定号码:

图1-16 发送短信至指定号码

8)GET_CONTACTS

收到该指令后,获取用户的通讯录并上传到服务器:

图1-17 获取用户设备通讯录

9)UNINSTALL_APP

收到该指令后,卸载用户设备上指定的app:

图1-18 卸载设备指定应用

10)CARD_BLOCK

收到该指令后,弹出窗口获取用户信用卡信息:

图1-19 窃取用户信用卡信息

11)SMS_INT_TOGGLE

收到该指令后,替换用户默认短信程序:

图1-20 弹框提示用户

2.3.3 上传服务器地址

目前发现上述指令文件上传的服务器地址有许多个,程序启动后就会不停的进行上传用户设备信息。短短几分钟就达到一百多条上传数据包,域名分别通过随机字母数组随机组成,然后拼接域名不同的后缀进行发送,程序获取指令后进行不同的操作。服务器链接成功的地址为四个,分别如下:

· http://egus****rrmqvj.ru/poll.php

· http://wen****pgfumtk.com/poll.php

· http://nfi****tftasnuk.com/poll.php

· http://gbm****sgkvkdh.ru/poll.php

服务器链接失败的地址如下:

· http://pde****holjjkn.com/poll.php

· http://lnn****stcbmdhn.com/poll.php

· http://ici****cudffbr.com/poll.php

· http://bmp****ttkswfh.com/poll.php

· http://bfw****icedupj.com/poll.php

· http://afh****cjbpln.com/poll.php

· http://uhl****ablfmwm.com/poll.php

· http://aog****qhuokpd.ru/poll.php

· http://apd****rpokfbc.com/poll.php

3. 服务器威胁情报信息

序号


木马(C&C)域名


IP地址


归属地


用途


近期发现时间


1


egus****rmqvj.ru


47.91.***.36


德国


木马回传信息地址


2021-03-17


2


wenk****gfumtk.com


173.231.***.124


173.231.***.8


35.205.***.67


美国


木马回传信息地址


2021-03-25


3


nfiu****tasnuk.com


51.254.***.105


法国


木马回传信息地址


2021-03-25


4


gbms****gkvkdh.ru


206.191.***.37


206.191.***.42


美国


木马回传信息地址


2021-03-25


4. 总结

本次捕获的木马可以看出来此类木马进行了加固并对代码大量的加密混淆,企图加大病毒分析人员的分析难度。病毒采用开启无障碍辅助服务后台运行防止用户卸载,国内也只是通过此服务来开发抢红包功能,可见病毒制作者的狡猾程度。通过仿冒西班牙邮政快递及全球知名快递,虽然仿冒西班牙邮政快递应用针对的是西班牙境内,但是仿冒全球知名快递应用,也极有可能传播到我国。

君子以思患而豫防之,今天木马出现在西班牙,明天就有可能出现在我国。我们应时刻关注国际国内手机安全局势,恒安暗影实验室也会不断监测,为网络安全、移动安全出一份力。

1. 背景

2021年3月初,暗影实验室就发现了几个针对西班牙投放的移动端木马,这些木马从代码结构,到主控地址,到安装名称,再到针对的对象都是极其相似,这是一个有具有针对性的木马传播事件,APP通过仿冒西班牙邮政快递及国际知名快递诱导用户安装使用,从而获取用户设备上的各种敏感信息。

本次发现的APP大致分为两类:一类是仿冒西班牙邮政快递(Correos),一类是仿冒国际知名快递(DHL、FedEx)。

此类木马针对安卓5.0系统到安卓9.0系统,危害范围比较大。需要注意的是,此类木马在启动后,会诱骗用户开启无障碍辅助服务(AccessibilityService)。此服务设计初衷在于帮助残障用户使用android设备和应用,在后台运行,可以监听用户界面的一些状态转换。木马通过此服务监听用户手机界面变化,禁止用户查看应用程序列表,阻止用户卸载此应用。一般用户极难卸载此类木马。

仿冒西班牙邮政快递及国际知名快递的木马通过相同或者相似的安装图标及安装名称诱导用户下载安装,然后通过开启无障碍辅助服务之后,后台获取用户设备上的短信及联系人等信息上传到服务器。

2. 木马分析

2.1 信息汇总

本次发现的APP主要伪装成西班牙邮政快递应用、国际知名快递应用。

MD5


安装名


图标


最低兼容版本


74F88D5480AEFE165721C36100DCF89A


DHL



Android5.0


CBCEE88707CD523D7F1131F26E9DD4AF


Correos



Android5.0


CBCEE88707CD523D7F1131F26E9DD4AF


Correos



Android5.0


1A2A4044CF18EED59E66C413DB766145


FedEx



Android5.0


B991622168F7787CB1A89FC2BDD38A30


FedEx



Android5.0


2.2 运行分析

运行本次发现的木马发现界面极其简单,仿冒西班牙邮政快递、全球著名快递的APP应用图标、应用名称均与快递公司官网图标相似,用户难以区分真伪。

企业微信截图_20210330103602.png

图1-1 仿冒图标

木马启动后诱导用户开启无障碍辅助服务,隐藏图标,并监听用户界面,防止卸载。

企业微信截图_20210330103727.png

图1-2 请求开启无障碍辅助服务并隐藏图标

除此以外,仿冒APP均由随机字母组成的域名前缀加上.ru或者.com域名后缀组成多个域名并启动多个线程进行上传用户隐私信息。

图1-3 随机字母组成域名

通过抓包,发现了多个域名:

图1-4 抓包数据

域名如下:

· http://egus****rrmqvj.ru/poll.php

· http://pde****holjjkn.com/poll.php

· http://lnnr****cbmdhn.com/poll.php

· http://icim****dffbr.com/poll.php

· http://bm****ttkswfh.com/poll.php

· http://we****pgfumtk.com/poll.php

· http://bfw****cedupj.com/poll.php

· http://nfiu****tasnuk.com/poll.php

· http://afh****cjbpln.com/poll.php

· http://uh****ablfmwm.com/poll.php

· http://ao****wqhuokpd.ru/poll.php

· http://ap****drpokfbc.com/poll.php

· http://gb****vsgkvkdh.ru/poll.php

经过分析,发现只有4个域名还能进行访问:

图1-5 有效域名

IP地址均位于境外。

http://egusn****rmqvj.ru/poll.php


德国


http://wenk****gfumtk.com/poll.php


美国


http://nfiue****snuk.com/poll.php


法国


http://gbm****sgkvkdh.ru/poll.php


美国


2.3 指令解析

2.3.1 指令获取

木马通过向指定域名上传用户设备的一些基本信息来下发指令。

图1-6 服务器下发指令

在获得服务器发送的指令后,程序根据指令进行不同的操作。

图1-7 解析指令

2.3.2 oder指令

木马指令进行了一定程度的加密混淆,使分析木马比较困难。

图1-8 指令经过加密混淆

经过测试进行解密后得到指令内容。

图1-9 解密后指令

下图是不同功能的order指令,一共十二种。

1)BLOCK

收到该指令后,程序会停止50秒:

图1-10 程序休眠指令

2)CARD_BLOCK

收到该指令后,启动一个新的线程开启SOCK客户端:


图1-11开启SOCK客户端

3)OPEN_URL

收到此指令后,程序会打开指定内容的界面:

图1-12 打开指定界面

4)RUN_USSD

收到该指令后,程序启动无障碍辅助服务:

图1-13 启动无障碍辅助服务

5)DISABLE_PLAY_PROTECT

收到该指令,程序关闭设备的GooglePlay Protect功能:

图1-14 关闭设备的GooglePlay Protect功能

6)RELOAD_INJECTS

收到该指令后,获取用户设备已安装应用程序列表并上传到服务器:

图1-15 获取设备已安装应用列表

7)SEND_SMS

收到该指令后,发送短信到指定号码:

图1-16 发送短信至指定号码

8)GET_CONTACTS

收到该指令后,获取用户的通讯录并上传到服务器:

图1-17 获取用户设备通讯录

9)UNINSTALL_APP

收到该指令后,卸载用户设备上指定的app:

图1-18 卸载设备指定应用

10)CARD_BLOCK

收到该指令后,弹出窗口获取用户信用卡信息:

图1-19 窃取用户信用卡信息

11)SMS_INT_TOGGLE

收到该指令后,替换用户默认短信程序:

图1-20 弹框提示用户

2.3.3 上传服务器地址

目前发现上述指令文件上传的服务器地址有许多个,程序启动后就会不停的进行上传用户设备信息。短短几分钟就达到一百多条上传数据包,域名分别通过随机字母数组随机组成,然后拼接域名不同的后缀进行发送,程序获取指令后进行不同的操作。服务器链接成功的地址为四个,分别如下:

· http://egus****rrmqvj.ru/poll.php

· http://wen****pgfumtk.com/poll.php

· http://nfi****tftasnuk.com/poll.php

· http://gbm****sgkvkdh.ru/poll.php

服务器链接失败的地址如下:

· http://pde****holjjkn.com/poll.php

· http://lnn****stcbmdhn.com/poll.php

· http://ici****cudffbr.com/poll.php

· http://bmp****ttkswfh.com/poll.php

· http://bfw****icedupj.com/poll.php

· http://afh****cjbpln.com/poll.php

· http://uhl****ablfmwm.com/poll.php

· http://aog****qhuokpd.ru/poll.php

· http://apd****rpokfbc.com/poll.php

3. 服务器威胁情报信息

序号


木马(C&C)域名


IP地址


归属地


用途


近期发现时间


1


egus****rmqvj.ru


47.91.***.36


德国


木马回传信息地址


2021-03-17


2


wenk****gfumtk.com


173.231.***.124


173.231.***.8


35.205.***.67


美国


木马回传信息地址


2021-03-25


3


nfiu****tasnuk.com


51.254.***.105


法国


木马回传信息地址


2021-03-25


4


gbms****gkvkdh.ru


206.191.***.37


206.191.***.42


美国


木马回传信息地址


2021-03-25


4. 总结

本次捕获的木马可以看出来此类木马进行了加固并对代码大量的加密混淆,企图加大病毒分析人员的分析难度。病毒采用开启无障碍辅助服务后台运行防止用户卸载,国内也只是通过此服务来开发抢红包功能,可见病毒制作者的狡猾程度。通过仿冒西班牙邮政快递及全球知名快递,虽然仿冒西班牙邮政快递应用针对的是西班牙境内,但是仿冒全球知名快递应用,也极有可能传播到我国。

君子以思患而豫防之,今天木马出现在西班牙,明天就有可能出现在我国。我们应时刻关注国际国内手机安全局势,恒安暗影实验室也会不断监测,为网络安全、移动安全出一份力。

1. 背景

2021年3月初,暗影实验室就发现了几个针对西班牙投放的移动端木马,这些木马从代码结构,到主控地址,到安装名称,再到针对的对象都是极其相似,这是一个有具有针对性的木马传播事件,APP通过仿冒西班牙邮政快递及国际知名快递诱导用户安装使用,从而获取用户设备上的各种敏感信息。

本次发现的APP大致分为两类:一类是仿冒西班牙邮政快递(Correos),一类是仿冒国际知名快递(DHL、FedEx)。

此类木马针对安卓5.0系统到安卓9.0系统,危害范围比较大。需要注意的是,此类木马在启动后,会诱骗用户开启无障碍辅助服务(AccessibilityService)。此服务设计初衷在于帮助残障用户使用android设备和应用,在后台运行,可以监听用户界面的一些状态转换。木马通过此服务监听用户手机界面变化,禁止用户查看应用程序列表,阻止用户卸载此应用。一般用户极难卸载此类木马。

仿冒西班牙邮政快递及国际知名快递的木马通过相同或者相似的安装图标及安装名称诱导用户下载安装,然后通过开启无障碍辅助服务之后,后台获取用户设备上的短信及联系人等信息上传到服务器。

2. 木马分析

2.1 信息汇总

本次发现的APP主要伪装成西班牙邮政快递应用、国际知名快递应用。

MD5


安装名


图标


最低兼容版本


74F88D5480AEFE165721C36100DCF89A


DHL



Android5.0


CBCEE88707CD523D7F1131F26E9DD4AF


Correos



Android5.0


CBCEE88707CD523D7F1131F26E9DD4AF


Correos



Android5.0


1A2A4044CF18EED59E66C413DB766145


FedEx



Android5.0


B991622168F7787CB1A89FC2BDD38A30


FedEx



Android5.0


2.2 运行分析

运行本次发现的木马发现界面极其简单,仿冒西班牙邮政快递、全球著名快递的APP应用图标、应用名称均与快递公司官网图标相似,用户难以区分真伪。

企业微信截图_20210330103602.png

图1-1 仿冒图标

木马启动后诱导用户开启无障碍辅助服务,隐藏图标,并监听用户界面,防止卸载。

企业微信截图_20210330103727.png

图1-2 请求开启无障碍辅助服务并隐藏图标

除此以外,仿冒APP均由随机字母组成的域名前缀加上.ru或者.com域名后缀组成多个域名并启动多个线程进行上传用户隐私信息。

图1-3 随机字母组成域名

通过抓包,发现了多个域名:

图1-4 抓包数据

域名如下:

· http://egus****rrmqvj.ru/poll.php

· http://pde****holjjkn.com/poll.php

· http://lnnr****cbmdhn.com/poll.php

· http://icim****dffbr.com/poll.php

· http://bm****ttkswfh.com/poll.php

· http://we****pgfumtk.com/poll.php

· http://bfw****cedupj.com/poll.php

· http://nfiu****tasnuk.com/poll.php

· http://afh****cjbpln.com/poll.php

· http://uh****ablfmwm.com/poll.php

· http://ao****wqhuokpd.ru/poll.php

· http://ap****drpokfbc.com/poll.php

· http://gb****vsgkvkdh.ru/poll.php

经过分析,发现只有4个域名还能进行访问:

图1-5 有效域名

IP地址均位于境外。

http://egusn****rmqvj.ru/poll.php


德国


http://wenk****gfumtk.com/poll.php


美国


http://nfiue****snuk.com/poll.php


法国


http://gbm****sgkvkdh.ru/poll.php


美国


2.3 指令解析

2.3.1 指令获取

木马通过向指定域名上传用户设备的一些基本信息来下发指令。

图1-6 服务器下发指令

在获得服务器发送的指令后,程序根据指令进行不同的操作。

图1-7 解析指令

2.3.2 oder指令

木马指令进行了一定程度的加密混淆,使分析木马比较困难。

图1-8 指令经过加密混淆

经过测试进行解密后得到指令内容。

图1-9 解密后指令

下图是不同功能的order指令,一共十二种。

1)BLOCK

收到该指令后,程序会停止50秒:

图1-10 程序休眠指令

2)CARD_BLOCK

收到该指令后,启动一个新的线程开启SOCK客户端:


图1-11开启SOCK客户端

3)OPEN_URL

收到此指令后,程序会打开指定内容的界面:

图1-12 打开指定界面

4)RUN_USSD

收到该指令后,程序启动无障碍辅助服务:

图1-13 启动无障碍辅助服务

5)DISABLE_PLAY_PROTECT

收到该指令,程序关闭设备的GooglePlay Protect功能:

图1-14 关闭设备的GooglePlay Protect功能

6)RELOAD_INJECTS

收到该指令后,获取用户设备已安装应用程序列表并上传到服务器:

图1-15 获取设备已安装应用列表

7)SEND_SMS

收到该指令后,发送短信到指定号码:

图1-16 发送短信至指定号码

8)GET_CONTACTS

收到该指令后,获取用户的通讯录并上传到服务器:

图1-17 获取用户设备通讯录

9)UNINSTALL_APP

收到该指令后,卸载用户设备上指定的app:

图1-18 卸载设备指定应用

10)CARD_BLOCK

收到该指令后,弹出窗口获取用户信用卡信息:

图1-19 窃取用户信用卡信息

11)SMS_INT_TOGGLE

收到该指令后,替换用户默认短信程序:

图1-20 弹框提示用户

2.3.3 上传服务器地址

目前发现上述指令文件上传的服务器地址有许多个,程序启动后就会不停的进行上传用户设备信息。短短几分钟就达到一百多条上传数据包,域名分别通过随机字母数组随机组成,然后拼接域名不同的后缀进行发送,程序获取指令后进行不同的操作。服务器链接成功的地址为四个,分别如下:

· http://egus****rrmqvj.ru/poll.php

· http://wen****pgfumtk.com/poll.php

· http://nfi****tftasnuk.com/poll.php

· http://gbm****sgkvkdh.ru/poll.php

服务器链接失败的地址如下:

· http://pde****holjjkn.com/poll.php

· http://lnn****stcbmdhn.com/poll.php

· http://ici****cudffbr.com/poll.php

· http://bmp****ttkswfh.com/poll.php

· http://bfw****icedupj.com/poll.php

· http://afh****cjbpln.com/poll.php

· http://uhl****ablfmwm.com/poll.php

· http://aog****qhuokpd.ru/poll.php

· http://apd****rpokfbc.com/poll.php

3. 服务器威胁情报信息

序号


木马(C&C)域名


IP地址


归属地


用途


近期发现时间


1


egus****rmqvj.ru


47.91.***.36


德国


木马回传信息地址


2021-03-17


2


wenk****gfumtk.com


173.231.***.124


173.231.***.8


35.205.***.67


美国


木马回传信息地址


2021-03-25


3


nfiu****tasnuk.com


51.254.***.105


法国


木马回传信息地址


2021-03-25


4


gbms****gkvkdh.ru


206.191.***.37


206.191.***.42


美国


木马回传信息地址


2021-03-25


4. 总结

本次捕获的木马可以看出来此类木马进行了加固并对代码大量的加密混淆,企图加大病毒分析人员的分析难度。病毒采用开启无障碍辅助服务后台运行防止用户卸载,国内也只是通过此服务来开发抢红包功能,可见病毒制作者的狡猾程度。通过仿冒西班牙邮政快递及全球知名快递,虽然仿冒西班牙邮政快递应用针对的是西班牙境内,但是仿冒全球知名快递应用,也极有可能传播到我国。

君子以思患而豫防之,今天木马出现在西班牙,明天就有可能出现在我国。我们应时刻关注国际国内手机安全局势,恒安暗影实验室也会不断监测,为网络安全、移动安全出一份力。

1. 背景

2021年刚过完春节,暗影实验室就发现了几个针对印度投放的移动端木马,这些木马从代码结构,到主控地址,到安装名称,再到针对的对象都是极其相似,这是一个有预谋的木马传播事件,APP通过仿冒系统应用或者知名软件诱导用户安装使用,从而获取用户设备上的各种敏感信息。

本次发现的APP大致分为两类:一类是仿冒系统应用,一类是仿冒国外流行的聊天软件。

仿冒系统应用的木马在编译时会特意将自己转为兼容旧版系统的软件,系统的最低兼容版本会降低到Android4,这样APP在安装时就会自动授权所有权限,防止出现系统应用向用户索要权限的不合理现象。

仿冒国外知名软件的木马则是会通过相同或者相似的安装名诱导用户下载安装,然后伪造登录、联系人、聊天等页面,用户进行操作时触发相应的权限请求,使得木马可以获取设备上的信息。

2. 木马分析

2.1 信息汇总

本次发现的APP主要伪装成系统Settings应用、WhatsApp以及BoltChat应用。

image.png

2.2 运行分析

运行本次发现的木马发现其界面简单,仿冒聊天类得APP界面上登录的手机号前缀国家代码均是91,为印度境内所属。

企业微信截图_20210311171654.png

图1-1仿冒应用的登录界面

除了仿冒Settings的应用没有登录等操作外,其余仿冒APP均有一个url处理登录、APP联系人等逻辑,主服务器地址经过整理发现两个:

http://www.iwil***you.com

https://cha***sion.000w***ostapp.com/application

经过抓包佐证了分析结果:IP地址均位于境外。

图1-2 数据传输

2.3 指令解析

2.3.1 指令获取

木马指令的获取有一些变化,大致分为两种,一类是硬编码在APP中,包括明文编写和base编码,另一种经过了改进,通过一个固定网址下载配置文件获得主控地址。

1)硬编码地址

一部分APP以字符串的形式明文编写在代码中,如下图:

图1-3 服务器地址硬编码

还有一种以base64编码的形式存储:

图1-4 服务器地址base64编码

经过整理,主控地址主要有以下几个:IP地址均位于荷兰境内。

· 178.132.***.230:5987

· 109.236.***.16:5987

· O***1.d***s.net:5987

· My***xyz.d***s.net:5987

2)配置文件读取

通过APP中base64编码的url获得配置文件:http://trya***horse.com/config.txt,

读取第一行作为真实主控地址,这样可以任意变更主控地址而APP无需改动。

图1-5 从配置文件获取主控地址

2.3.2 oder指令

下图是不同功能的order指令,一共八种。

图1-6 远控命令脑图

3)x0000fm

extra 如果是ls则获得path字段,获取该字段下的目录文件列表:

企业微信截图_20210311174206.png

图1-7 获取目录文件列表

extra 如果是dl则获得path字段,上传该path指定的文件至服务器:

图1-8 上传指定路径文件至服务器

4)x000adm

收到该指令后APP上传设备的通讯录、短信、log日志、几个特定目录(包括Records、Download、DCIM/Camera、Documents、WhatsApp/Media/WhatsAppImages、WhatsApp/Media/WhatsAppDocuments)下的文件。

图1-9 上传设备的通讯录、短信、log日志、目录文件

5)sms

图1-10 sms命令

extra如果是ls则获取短信列表:

图1-11 获取短信列表

extra如果是sendSMS则发送指定内容的短信到指定手机号:

图1-12 发送短信

extra如果是deleteSMS则删除指定内容的短信:

图1-13 删除短信

6)x0000cl

收到该指令则获取设备的通话记录上传到服务器:

图1-14 获取通话记录

7)x0000cn

收到该指令则获取通讯录列表将手机号姓名上传到服务器:

图1-15 获取通讯录

8)x0000mc

该指令获取extra字段然后细分为三个子指令:au、mu、muS:

图1-16 extra字段子指令

extra如果是au则获取sec字段,录制sec秒的音频,保存为sound.mp3,然后上传服务器:

图1-17 录制音频,保存为sound.mp3

extra如果是mu,则执行立即停止录音的操作,然后将录音文件上传服务器,并删除该文件:

企业微信截图_20210311172835.png

图1-18 上传录音文件,并删除保存在本地的录音文件

extra如果是muS,则开启录音,并把该次录音取名sound.mp3:

图1-19 开启录音按钮

9)x0000lm

APP收到该指令则获取用户设备的地理位置上传到服务器:

图1-20 获取地理位置信息

10)x000upd

APP收到该指令则获取path字段,到指定的网址获取APP,下载到本地以system.apk命名,并启动APP安装程序:

图1-21 下载安装其它应用程序

3.3.3 上传服务器地址

目前发现上述指令文件上传的服务器地址有两个,分别通过不同的方式保存,一个是通过base64编码存储,解码后的地址为:http://178.132.***.230:80/server/upload.php

图1-22 base64编码保存的服务器地址

一个是直接明文写在代码中,地址为:http://212.8.***.221:80/server/upload.php:

图1-23 明文保存的服务器地址

3. 服务器整理

将以上获得的服务器地址进行整理:IP地址归属地均位于境外。

· 212.8.***.221:80

· 178.132.***.230:80

· 178.132.***.230:5987

· 109.236.***.16:5987

· obs1.d***s.net:5987

· mya***xyz.d***s.net:5987

· trya***rhorse.com

· www.iwil***eyou.com

· cha***rsion.00***hostapp.com

以下两个地址目前指向同一页面:

· http://www.iwil***reyou.com/

· https://cha***sion.000w***tapp.com/application/

图1-24 服务器后台页面

4. 总结

本次捕获的木马可以看出来在不断的改进,从单纯的明文编码到base64编码隐藏主要地址,再到通过中间服务器获取主控地址,应用虽然针对的是印度,但是安全无国界,恶意应用需要我们时刻警惕,恒安暗影实验室也会不断监测,为网络安全、移动安全出一份力。