1. 概述

银行恶意软件一直都是我们暗影实验室关注的重点。近期,意大利出现了一种新型的Android恶意软件,研究人员发现它与目前已知的银行木马家族都不相关,命名这款新型的银行木马家族为TeaBot(也有命名为Anatsa)。

该恶意软件最初出现时间是在2020年12月初,它伪装成“VLC_MediaPlayer”,“TeaTV”应用程序。TeaBot家族恶意软件的其主要目标是窃取用户凭证信息和短信消息,用于已预先设计好的银行欺诈方案。

目前,TeaBot似乎处于开发的早期阶段。2021年3月,发现意大利银行的相关注入模块,2021年5月,发现比利时和荷兰银行的注入

用户在成功安装TeaBot后,攻击者就可以随时实时获取设备屏幕,并通过AccessibilityServices交互,窃取用户隐私信息,根据用户安装的应用列表,获知已安装的银行应用,并分发已预先设计好的银行欺诈注入代码,诱导用户登录,操作等,并获取用户短信验证消息,最终导致用户个人信息泄露和财产损失,安装图标如下:

VLC_MediaPlayer

TeaTV

2. 样本信息

表2-1 样本基本信息

111.png

3. 程序运行流程图

图3-1 TeaBot程序运行流程图

4. 样本分析

4.1 静态分析

4.1.1 增高安全分析难度

4.1.1.1 dex动态加载

在启动恶意软件后,先执行自定义Application类的attachBaseContext方法,然后执行ghostincome方法动态加载assets文件路径内的rA.json文件。rA.json文件是一个加密的dex文件,恶意代码模块主要集中在rA.json文件内。

图4-1-1 动态加载rA.json文件过程

4.1.1.2 使用XOR加密算法

通过静态分析发现,该样本使用XOR加密算法对部分网络通信进行加密。

图4-1-2 XOR加密

4.1.2 TeaBot支持6种语言

通过逆向分析代码发现,TeaBot检索银行app时,判断的结果使用了6种语言(西班牙语,英语,意大利语,德语,法语和荷兰语)。

图4-1-3 支持6种语言

4.1.3 主要功能

4.1.3.1 跟踪记录

通过使用Android无障碍服务,TeaBot能够观察和跟踪用户在目标应用程序上执行的所有信息,并将关键的跟踪信息通过SharedPreferences储存到config.xml配置文件中。TeaBot在与C&C服务器进行首次通信时,会发送已安装应用程序的列表,以验证受感染的设备是否已安装一个或多个目标应用程序。当其中有一个匹配时,它会下载特定的WebView以执行覆盖攻击,并开始跟踪用户在目标应用程序上执行的所有活动。这些信息都是每间隔10秒发送到指定的C&C服务器。下图为代码模块和config文件:

服务器地址:185.*.*.31:80

图4-1-4 发送请求获取检索应用代码

图4-1-5 写入config.xml

配置文件中包含需要检索的应用包名、远控指令执行状态、C2服务器的url等。远控和检索包名等功能都是在无障碍服务的onAccessibilityEvent方法中执行的。

4.1.3.2 屏幕截图

TeaBot可以进行屏幕截图来不断监视受感染设备的屏幕。当用户启动恶意软件后,Teabot发送包含设备信息的post请求至C&C服务器,服务器返回信息中如果含有一套IP地址和PORT的“ start_client ”命令时,开始启动截图。TeaBot启动一个循环,在该循环中创建一个“VirtualScreen”以获取屏幕截图。

1)发送post请求到服务器

服务器地址:185.215.***.31:80

图4-1-6 发送post请求

2)服务器返回“start_client”指令

图4-1-7 解析返回指令“start_client”

3)启动截屏模块

图4-1-8 启动截屏模块

4.1.3.3 覆盖攻击

覆盖攻击是一种Android银行木马(例如Anubis,Cerberus)普遍的技术手段,虚假的界面覆盖能够迷惑和诱骗用户信以为真,继而窃取用户的个人隐私。

通常有两种方式:1、伪造虚假的银行app并启用;2、在合法应用程序(例如银行应用程序)的上层启动一个虚假的WebView来迷惑和欺诈用户。TeaBot能够对多个银行应用程序执行覆盖攻击,以窃取登录凭据和银行卡信息。

图4-1-9 覆盖攻击模块

根据抓包和恶意代码分析,总结了覆盖攻击的流程图如下:

1)先判断是否含有特定的银行应用包名,然后下载注入模块。

2)用户打开银行应用,操作的数据会上传C2服务器,C2服务器返回覆盖攻击的远控指令。

3)虚假的webview会覆盖真实的银行app界面,诱导用户输入登录凭证。

4)窃取的用户隐私通过加密的POST请求上传至C2服务器。

图4-1-10 覆盖攻击流程图

4.1.3.4 其他功能

1)能够拦截/隐藏短信

恶意软件具有拦截/隐藏短信的功能,拦截的短信信息会通过每隔10s的post加密请求发送到C2服务器(服务器地址:185.215.***.31:80),其主要目的是获取用户银行登录或修改密码的短信验证。隐藏短信的主要目的是隐秘的修改或登录用户银行账号,防止用户发现。

图4-1-11 拦截短信

图4-1-12 隐藏短信

2)能够窃取Google身份验证code

图4-1-13 窃取Google身份验证code

3) 远程控制Android设备

恶意软件通过无障碍辅助功能和实时屏幕共享,将收集的信息、截图实时上传至服务器(服务器地址:185.215.***.31:80),再通过解析服务器的返回,获取远控指令,并通过无障碍辅助功能实现其远控功能。如下图是无障碍辅助功能开启后,onAccessibilityEvent方法中的远控操作:

图4-1-14 远程操作

更多远控指令详见“表4-1远控指令列表”,以下是其中一个远控操作(获取用户账号信息),如下图所示:

图4-1-15 远程操作-获取用户账号信息

4.2 动态分析

4.2.1 启用无障碍辅助服务

I. 此类木马在启动后,会诱骗用户开启无障碍辅助服务(AccessibilityService)。此服务设计初衷在于帮助残障用户使用android设备和应用,启动后在后台运行,可以监听用户界面的状态。如下图所示:

企业微信截图_20210521153653.png

此恶意程序通过此服务监听用户手机界面变化,同时会禁止用户查看应用程序列表,禁止用户关闭无障碍模式,阻止用户卸载此应用。一般用户极难卸载此类木马。

II. 开启无障碍辅助服务后,TeaBot会请求敏感的android权限,如下图:

企业微信截图_20210521153704.png

图4-2-1 诱骗用户开启无障碍辅助服务

222.png

III. 接受请求的权限后,恶意应用程序将从设备中删除自身的图标。删除图标后,此恶意程序依然在后台运行,与C&C服务器通信并持续监控和窃取用户数据,然而用户却并不知情。

4.2.2 在后台与C&C服务器通信

4.2.2.1 使用http协议通信

通过抓包发现恶意程序和C&C之间的通信使用的是http协议。服务器地址:185.215.***.31:80

图4-2-2 wireshark抓包数据

如图所示,根据其网络通讯内容和功能,将与C&C服务器的通信分为3个阶段:

1)Uricontent:/api/botupdate

从抓包数据中可以发现,TeaBot恶意软件每10秒钟发送一次POST请求,其中包含有关受感染设备的所有信息(图4-2-7网络数据加密部分详解)。

图4-2-3 第一次请求botupdate

C&C服务器返回信息使用异或XOR解密,如下图:

图4-2-4 C2返回信息解密

该响应通常由配置更新组成(例如C2地址,远控命令启动等)。

2)Uricontent:/api/getkeyloggers

 每10秒钟TeaBot执行一次GET请求,以检索跟踪记录功能所收到的应用程序列表。

图4-2-5 第二次请求getkeyloggers

3)Uricontent:/api/getkeylogge

TeaBot发送包含受感染设备上安装的所有程序包名称的JSON文件(未加密)的POST请求。通过这些信息,C&C服务器就能知道是否有一个或多个目标应用程序,并响应下载相关的注入。

图4-2-6 第三次请求getbotinjects

4.2.2.2 使用XOR异或加密流量

通过逆向恶意代码模块,发现其加密部分使用了XOR异或加密。

图4-2-7 网络数据加密部分详解

4.2.2.3 远控命令

恶意程序通过onAccessibilityEvent方法实施远控操作,包含的远控指令,如下表所示:


表4-2远控指令列表
333.png

4.3 服务器地址

表4-3 服务器地址分布

444.png

5. 应用危害

此类银行木马的危害十分严重,一旦安装后,用户的所有信息将被窃取,并且还会实时的监控用户的使用状态、截屏上传服务器。此木马最大的危害是对银行信息的窃取,其使用的覆盖攻击可以以假乱真,在用户不知情的情况下,轻松获取用户的凭证和短信信息。对用户造成财产损失。虽然目前TeaBot只是针对欧洲银行,但是不排除会增加其他国家的银行注入,所以此类木马家族还需要持续关注。

6. 安全建议

  • 此恶意软件对自身实时了保护,用户通常难以卸载。

(1)立即关闭所有网络连接(断开手机移动网络和wlan),在未删除app前,建议禁止网络连接;

(2)使用adb指令删除恶意软件;

(3)如果以上方法都无法删除,备份一些重要数据到电脑,然后恢复出厂设置。

  • 用户安装所需软件,建议去正规的应用市场下载、去官方下载。

  • 在手机当中安装必要的安全软件,并保持安全软件更新。

1. 概述

银行恶意软件一直都是我们暗影实验室关注的重点。近期,意大利出现了一种新型的Android恶意软件,研究人员发现它与目前已知的银行木马家族都不相关,命名这款新型的银行木马家族为TeaBot(也有命名为Anatsa)。

该恶意软件最初出现时间是在2020年12月初,它伪装成“VLC_MediaPlayer”,“TeaTV”应用程序。TeaBot家族恶意软件的其主要目标是窃取用户凭证信息和短信消息,用于已预先设计好的银行欺诈方案。

目前,TeaBot似乎处于开发的早期阶段。2021年3月,发现意大利银行的相关注入模块,2021年5月,发现比利时和荷兰银行的注入

用户在成功安装TeaBot后,攻击者就可以随时实时获取设备屏幕,并通过AccessibilityServices交互,窃取用户隐私信息,根据用户安装的应用列表,获知已安装的银行应用,并分发已预先设计好的银行欺诈注入代码,诱导用户登录,操作等,并获取用户短信验证消息,最终导致用户个人信息泄露和财产损失,安装图标如下:

VLC_MediaPlayer

TeaTV

2. 样本信息

表2-1 样本基本信息

111.png

3. 程序运行流程图

图3-1 TeaBot程序运行流程图

4. 样本分析

4.1 静态分析

4.1.1 增高安全分析难度

4.1.1.1 dex动态加载

在启动恶意软件后,先执行自定义Application类的attachBaseContext方法,然后执行ghostincome方法动态加载assets文件路径内的rA.json文件。rA.json文件是一个加密的dex文件,恶意代码模块主要集中在rA.json文件内。

图4-1-1 动态加载rA.json文件过程

4.1.1.2 使用XOR加密算法

通过静态分析发现,该样本使用XOR加密算法对部分网络通信进行加密。

图4-1-2 XOR加密

4.1.2 TeaBot支持6种语言

通过逆向分析代码发现,TeaBot检索银行app时,判断的结果使用了6种语言(西班牙语,英语,意大利语,德语,法语和荷兰语)。

图4-1-3 支持6种语言

4.1.3 主要功能

4.1.3.1 跟踪记录

通过使用Android无障碍服务,TeaBot能够观察和跟踪用户在目标应用程序上执行的所有信息,并将关键的跟踪信息通过SharedPreferences储存到config.xml配置文件中。TeaBot在与C&C服务器进行首次通信时,会发送已安装应用程序的列表,以验证受感染的设备是否已安装一个或多个目标应用程序。当其中有一个匹配时,它会下载特定的WebView以执行覆盖攻击,并开始跟踪用户在目标应用程序上执行的所有活动。这些信息都是每间隔10秒发送到指定的C&C服务器。下图为代码模块和config文件:

服务器地址:185.*.*.31:80

图4-1-4 发送请求获取检索应用代码

图4-1-5 写入config.xml

配置文件中包含需要检索的应用包名、远控指令执行状态、C2服务器的url等。远控和检索包名等功能都是在无障碍服务的onAccessibilityEvent方法中执行的。

4.1.3.2 屏幕截图

TeaBot可以进行屏幕截图来不断监视受感染设备的屏幕。当用户启动恶意软件后,Teabot发送包含设备信息的post请求至C&C服务器,服务器返回信息中如果含有一套IP地址和PORT的“ start_client ”命令时,开始启动截图。TeaBot启动一个循环,在该循环中创建一个“VirtualScreen”以获取屏幕截图。

1)发送post请求到服务器

服务器地址:185.215.***.31:80

图4-1-6 发送post请求

2)服务器返回“start_client”指令

图4-1-7 解析返回指令“start_client”

3)启动截屏模块

图4-1-8 启动截屏模块

4.1.3.3 覆盖攻击

覆盖攻击是一种Android银行木马(例如Anubis,Cerberus)普遍的技术手段,虚假的界面覆盖能够迷惑和诱骗用户信以为真,继而窃取用户的个人隐私。

通常有两种方式:1、伪造虚假的银行app并启用;2、在合法应用程序(例如银行应用程序)的上层启动一个虚假的WebView来迷惑和欺诈用户。TeaBot能够对多个银行应用程序执行覆盖攻击,以窃取登录凭据和银行卡信息。

图4-1-9 覆盖攻击模块

根据抓包和恶意代码分析,总结了覆盖攻击的流程图如下:

1)先判断是否含有特定的银行应用包名,然后下载注入模块。

2)用户打开银行应用,操作的数据会上传C2服务器,C2服务器返回覆盖攻击的远控指令。

3)虚假的webview会覆盖真实的银行app界面,诱导用户输入登录凭证。

4)窃取的用户隐私通过加密的POST请求上传至C2服务器。

图4-1-10 覆盖攻击流程图

4.1.3.4 其他功能

1)能够拦截/隐藏短信

恶意软件具有拦截/隐藏短信的功能,拦截的短信信息会通过每隔10s的post加密请求发送到C2服务器(服务器地址:185.215.***.31:80),其主要目的是获取用户银行登录或修改密码的短信验证。隐藏短信的主要目的是隐秘的修改或登录用户银行账号,防止用户发现。

图4-1-11 拦截短信

图4-1-12 隐藏短信

2)能够窃取Google身份验证code

图4-1-13 窃取Google身份验证code

3) 远程控制Android设备

恶意软件通过无障碍辅助功能和实时屏幕共享,将收集的信息、截图实时上传至服务器(服务器地址:185.215.***.31:80),再通过解析服务器的返回,获取远控指令,并通过无障碍辅助功能实现其远控功能。如下图是无障碍辅助功能开启后,onAccessibilityEvent方法中的远控操作:

图4-1-14 远程操作

更多远控指令详见“表4-1远控指令列表”,以下是其中一个远控操作(获取用户账号信息),如下图所示:

图4-1-15 远程操作-获取用户账号信息

4.2 动态分析

4.2.1 启用无障碍辅助服务

I. 此类木马在启动后,会诱骗用户开启无障碍辅助服务(AccessibilityService)。此服务设计初衷在于帮助残障用户使用android设备和应用,启动后在后台运行,可以监听用户界面的状态。如下图所示:

企业微信截图_20210521153653.png

此恶意程序通过此服务监听用户手机界面变化,同时会禁止用户查看应用程序列表,禁止用户关闭无障碍模式,阻止用户卸载此应用。一般用户极难卸载此类木马。

II. 开启无障碍辅助服务后,TeaBot会请求敏感的android权限,如下图:

企业微信截图_20210521153704.png

图4-2-1 诱骗用户开启无障碍辅助服务

222.png

III. 接受请求的权限后,恶意应用程序将从设备中删除自身的图标。删除图标后,此恶意程序依然在后台运行,与C&C服务器通信并持续监控和窃取用户数据,然而用户却并不知情。

4.2.2 在后台与C&C服务器通信

4.2.2.1 使用http协议通信

通过抓包发现恶意程序和C&C之间的通信使用的是http协议。服务器地址:185.215.***.31:80

图4-2-2 wireshark抓包数据

如图所示,根据其网络通讯内容和功能,将与C&C服务器的通信分为3个阶段:

1)Uricontent:/api/botupdate

从抓包数据中可以发现,TeaBot恶意软件每10秒钟发送一次POST请求,其中包含有关受感染设备的所有信息(图4-2-7网络数据加密部分详解)。

图4-2-3 第一次请求botupdate

C&C服务器返回信息使用异或XOR解密,如下图:

图4-2-4 C2返回信息解密

该响应通常由配置更新组成(例如C2地址,远控命令启动等)。

2)Uricontent:/api/getkeyloggers

 每10秒钟TeaBot执行一次GET请求,以检索跟踪记录功能所收到的应用程序列表。

图4-2-5 第二次请求getkeyloggers

3)Uricontent:/api/getkeylogge

TeaBot发送包含受感染设备上安装的所有程序包名称的JSON文件(未加密)的POST请求。通过这些信息,C&C服务器就能知道是否有一个或多个目标应用程序,并响应下载相关的注入。

图4-2-6 第三次请求getbotinjects

4.2.2.2 使用XOR异或加密流量

通过逆向恶意代码模块,发现其加密部分使用了XOR异或加密。

图4-2-7 网络数据加密部分详解

4.2.2.3 远控命令

恶意程序通过onAccessibilityEvent方法实施远控操作,包含的远控指令,如下表所示:


表4-2远控指令列表
333.png

4.3 服务器地址

表4-3 服务器地址分布

444.png

5. 应用危害

此类银行木马的危害十分严重,一旦安装后,用户的所有信息将被窃取,并且还会实时的监控用户的使用状态、截屏上传服务器。此木马最大的危害是对银行信息的窃取,其使用的覆盖攻击可以以假乱真,在用户不知情的情况下,轻松获取用户的凭证和短信信息。对用户造成财产损失。虽然目前TeaBot只是针对欧洲银行,但是不排除会增加其他国家的银行注入,所以此类木马家族还需要持续关注。

6. 安全建议

  • 此恶意软件对自身实时了保护,用户通常难以卸载。

(1)立即关闭所有网络连接(断开手机移动网络和wlan),在未删除app前,建议禁止网络连接;

(2)使用adb指令删除恶意软件;

(3)如果以上方法都无法删除,备份一些重要数据到电脑,然后恢复出厂设置。

  • 用户安装所需软件,建议去正规的应用市场下载、去官方下载。

  • 在手机当中安装必要的安全软件,并保持安全软件更新。

1. 背景

2021年3月初,暗影实验室就发现了几个针对西班牙投放的移动端木马,这些木马从代码结构,到主控地址,到安装名称,再到针对的对象都是极其相似,这是一个有具有针对性的木马传播事件,APP通过仿冒西班牙邮政快递及国际知名快递诱导用户安装使用,从而获取用户设备上的各种敏感信息。

本次发现的APP大致分为两类:一类是仿冒西班牙邮政快递(Correos),一类是仿冒国际知名快递(DHL、FedEx)。

此类木马针对安卓5.0系统到安卓9.0系统,危害范围比较大。需要注意的是,此类木马在启动后,会诱骗用户开启无障碍辅助服务(AccessibilityService)。此服务设计初衷在于帮助残障用户使用android设备和应用,在后台运行,可以监听用户界面的一些状态转换。木马通过此服务监听用户手机界面变化,禁止用户查看应用程序列表,阻止用户卸载此应用。一般用户极难卸载此类木马。

仿冒西班牙邮政快递及国际知名快递的木马通过相同或者相似的安装图标及安装名称诱导用户下载安装,然后通过开启无障碍辅助服务之后,后台获取用户设备上的短信及联系人等信息上传到服务器。

2. 木马分析

2.1 信息汇总

本次发现的APP主要伪装成西班牙邮政快递应用、国际知名快递应用。

MD5


安装名


图标


最低兼容版本


74F88D5480AEFE165721C36100DCF89A


DHL



Android5.0


CBCEE88707CD523D7F1131F26E9DD4AF


Correos



Android5.0


CBCEE88707CD523D7F1131F26E9DD4AF


Correos



Android5.0


1A2A4044CF18EED59E66C413DB766145


FedEx



Android5.0


B991622168F7787CB1A89FC2BDD38A30


FedEx



Android5.0


2.2 运行分析

运行本次发现的木马发现界面极其简单,仿冒西班牙邮政快递、全球著名快递的APP应用图标、应用名称均与快递公司官网图标相似,用户难以区分真伪。

企业微信截图_20210330103602.png

图1-1 仿冒图标

木马启动后诱导用户开启无障碍辅助服务,隐藏图标,并监听用户界面,防止卸载。

企业微信截图_20210330103727.png

图1-2 请求开启无障碍辅助服务并隐藏图标

除此以外,仿冒APP均由随机字母组成的域名前缀加上.ru或者.com域名后缀组成多个域名并启动多个线程进行上传用户隐私信息。

图1-3 随机字母组成域名

通过抓包,发现了多个域名:

图1-4 抓包数据

域名如下:

· http://egus****rrmqvj.ru/poll.php

· http://pde****holjjkn.com/poll.php

· http://lnnr****cbmdhn.com/poll.php

· http://icim****dffbr.com/poll.php

· http://bm****ttkswfh.com/poll.php

· http://we****pgfumtk.com/poll.php

· http://bfw****cedupj.com/poll.php

· http://nfiu****tasnuk.com/poll.php

· http://afh****cjbpln.com/poll.php

· http://uh****ablfmwm.com/poll.php

· http://ao****wqhuokpd.ru/poll.php

· http://ap****drpokfbc.com/poll.php

· http://gb****vsgkvkdh.ru/poll.php

经过分析,发现只有4个域名还能进行访问:

图1-5 有效域名

IP地址均位于境外。

http://egusn****rmqvj.ru/poll.php


德国


http://wenk****gfumtk.com/poll.php


美国


http://nfiue****snuk.com/poll.php


法国


http://gbm****sgkvkdh.ru/poll.php


美国


2.3 指令解析

2.3.1 指令获取

木马通过向指定域名上传用户设备的一些基本信息来下发指令。

图1-6 服务器下发指令

在获得服务器发送的指令后,程序根据指令进行不同的操作。

图1-7 解析指令

2.3.2 oder指令

木马指令进行了一定程度的加密混淆,使分析木马比较困难。

图1-8 指令经过加密混淆

经过测试进行解密后得到指令内容。

图1-9 解密后指令

下图是不同功能的order指令,一共十二种。

1)BLOCK

收到该指令后,程序会停止50秒:

图1-10 程序休眠指令

2)CARD_BLOCK

收到该指令后,启动一个新的线程开启SOCK客户端:


图1-11开启SOCK客户端

3)OPEN_URL

收到此指令后,程序会打开指定内容的界面:

图1-12 打开指定界面

4)RUN_USSD

收到该指令后,程序启动无障碍辅助服务:

图1-13 启动无障碍辅助服务

5)DISABLE_PLAY_PROTECT

收到该指令,程序关闭设备的GooglePlay Protect功能:

图1-14 关闭设备的GooglePlay Protect功能

6)RELOAD_INJECTS

收到该指令后,获取用户设备已安装应用程序列表并上传到服务器:

图1-15 获取设备已安装应用列表

7)SEND_SMS

收到该指令后,发送短信到指定号码:

图1-16 发送短信至指定号码

8)GET_CONTACTS

收到该指令后,获取用户的通讯录并上传到服务器:

图1-17 获取用户设备通讯录

9)UNINSTALL_APP

收到该指令后,卸载用户设备上指定的app:

图1-18 卸载设备指定应用

10)CARD_BLOCK

收到该指令后,弹出窗口获取用户信用卡信息:

图1-19 窃取用户信用卡信息

11)SMS_INT_TOGGLE

收到该指令后,替换用户默认短信程序:

图1-20 弹框提示用户

2.3.3 上传服务器地址

目前发现上述指令文件上传的服务器地址有许多个,程序启动后就会不停的进行上传用户设备信息。短短几分钟就达到一百多条上传数据包,域名分别通过随机字母数组随机组成,然后拼接域名不同的后缀进行发送,程序获取指令后进行不同的操作。服务器链接成功的地址为四个,分别如下:

· http://egus****rrmqvj.ru/poll.php

· http://wen****pgfumtk.com/poll.php

· http://nfi****tftasnuk.com/poll.php

· http://gbm****sgkvkdh.ru/poll.php

服务器链接失败的地址如下:

· http://pde****holjjkn.com/poll.php

· http://lnn****stcbmdhn.com/poll.php

· http://ici****cudffbr.com/poll.php

· http://bmp****ttkswfh.com/poll.php

· http://bfw****icedupj.com/poll.php

· http://afh****cjbpln.com/poll.php

· http://uhl****ablfmwm.com/poll.php

· http://aog****qhuokpd.ru/poll.php

· http://apd****rpokfbc.com/poll.php

3. 服务器威胁情报信息

序号


木马(C&C)域名


IP地址


归属地


用途


近期发现时间


1


egus****rmqvj.ru


47.91.***.36


德国


木马回传信息地址


2021-03-17


2


wenk****gfumtk.com


173.231.***.124


173.231.***.8


35.205.***.67


美国


木马回传信息地址


2021-03-25


3


nfiu****tasnuk.com


51.254.***.105


法国


木马回传信息地址


2021-03-25


4


gbms****gkvkdh.ru


206.191.***.37


206.191.***.42


美国


木马回传信息地址


2021-03-25


4. 总结

本次捕获的木马可以看出来此类木马进行了加固并对代码大量的加密混淆,企图加大病毒分析人员的分析难度。病毒采用开启无障碍辅助服务后台运行防止用户卸载,国内也只是通过此服务来开发抢红包功能,可见病毒制作者的狡猾程度。通过仿冒西班牙邮政快递及全球知名快递,虽然仿冒西班牙邮政快递应用针对的是西班牙境内,但是仿冒全球知名快递应用,也极有可能传播到我国。

君子以思患而豫防之,今天木马出现在西班牙,明天就有可能出现在我国。我们应时刻关注国际国内手机安全局势,恒安暗影实验室也会不断监测,为网络安全、移动安全出一份力。

1. 背景

2021年3月初,暗影实验室就发现了几个针对西班牙投放的移动端木马,这些木马从代码结构,到主控地址,到安装名称,再到针对的对象都是极其相似,这是一个有具有针对性的木马传播事件,APP通过仿冒西班牙邮政快递及国际知名快递诱导用户安装使用,从而获取用户设备上的各种敏感信息。

本次发现的APP大致分为两类:一类是仿冒西班牙邮政快递(Correos),一类是仿冒国际知名快递(DHL、FedEx)。

此类木马针对安卓5.0系统到安卓9.0系统,危害范围比较大。需要注意的是,此类木马在启动后,会诱骗用户开启无障碍辅助服务(AccessibilityService)。此服务设计初衷在于帮助残障用户使用android设备和应用,在后台运行,可以监听用户界面的一些状态转换。木马通过此服务监听用户手机界面变化,禁止用户查看应用程序列表,阻止用户卸载此应用。一般用户极难卸载此类木马。

仿冒西班牙邮政快递及国际知名快递的木马通过相同或者相似的安装图标及安装名称诱导用户下载安装,然后通过开启无障碍辅助服务之后,后台获取用户设备上的短信及联系人等信息上传到服务器。

2. 木马分析

2.1 信息汇总

本次发现的APP主要伪装成西班牙邮政快递应用、国际知名快递应用。

MD5


安装名


图标


最低兼容版本


74F88D5480AEFE165721C36100DCF89A


DHL



Android5.0


CBCEE88707CD523D7F1131F26E9DD4AF


Correos



Android5.0


CBCEE88707CD523D7F1131F26E9DD4AF


Correos



Android5.0


1A2A4044CF18EED59E66C413DB766145


FedEx



Android5.0


B991622168F7787CB1A89FC2BDD38A30


FedEx



Android5.0


2.2 运行分析

运行本次发现的木马发现界面极其简单,仿冒西班牙邮政快递、全球著名快递的APP应用图标、应用名称均与快递公司官网图标相似,用户难以区分真伪。

企业微信截图_20210330103602.png

图1-1 仿冒图标

木马启动后诱导用户开启无障碍辅助服务,隐藏图标,并监听用户界面,防止卸载。

企业微信截图_20210330103727.png

图1-2 请求开启无障碍辅助服务并隐藏图标

除此以外,仿冒APP均由随机字母组成的域名前缀加上.ru或者.com域名后缀组成多个域名并启动多个线程进行上传用户隐私信息。

图1-3 随机字母组成域名

通过抓包,发现了多个域名:

图1-4 抓包数据

域名如下:

· http://egus****rrmqvj.ru/poll.php

· http://pde****holjjkn.com/poll.php

· http://lnnr****cbmdhn.com/poll.php

· http://icim****dffbr.com/poll.php

· http://bm****ttkswfh.com/poll.php

· http://we****pgfumtk.com/poll.php

· http://bfw****cedupj.com/poll.php

· http://nfiu****tasnuk.com/poll.php

· http://afh****cjbpln.com/poll.php

· http://uh****ablfmwm.com/poll.php

· http://ao****wqhuokpd.ru/poll.php

· http://ap****drpokfbc.com/poll.php

· http://gb****vsgkvkdh.ru/poll.php

经过分析,发现只有4个域名还能进行访问:

图1-5 有效域名

IP地址均位于境外。

http://egusn****rmqvj.ru/poll.php


德国


http://wenk****gfumtk.com/poll.php


美国


http://nfiue****snuk.com/poll.php


法国


http://gbm****sgkvkdh.ru/poll.php


美国


2.3 指令解析

2.3.1 指令获取

木马通过向指定域名上传用户设备的一些基本信息来下发指令。

图1-6 服务器下发指令

在获得服务器发送的指令后,程序根据指令进行不同的操作。

图1-7 解析指令

2.3.2 oder指令

木马指令进行了一定程度的加密混淆,使分析木马比较困难。

图1-8 指令经过加密混淆

经过测试进行解密后得到指令内容。

图1-9 解密后指令

下图是不同功能的order指令,一共十二种。

1)BLOCK

收到该指令后,程序会停止50秒:

图1-10 程序休眠指令

2)CARD_BLOCK

收到该指令后,启动一个新的线程开启SOCK客户端:


图1-11开启SOCK客户端

3)OPEN_URL

收到此指令后,程序会打开指定内容的界面:

图1-12 打开指定界面

4)RUN_USSD

收到该指令后,程序启动无障碍辅助服务:

图1-13 启动无障碍辅助服务

5)DISABLE_PLAY_PROTECT

收到该指令,程序关闭设备的GooglePlay Protect功能:

图1-14 关闭设备的GooglePlay Protect功能

6)RELOAD_INJECTS

收到该指令后,获取用户设备已安装应用程序列表并上传到服务器:

图1-15 获取设备已安装应用列表

7)SEND_SMS

收到该指令后,发送短信到指定号码:

图1-16 发送短信至指定号码

8)GET_CONTACTS

收到该指令后,获取用户的通讯录并上传到服务器:

图1-17 获取用户设备通讯录

9)UNINSTALL_APP

收到该指令后,卸载用户设备上指定的app:

图1-18 卸载设备指定应用

10)CARD_BLOCK

收到该指令后,弹出窗口获取用户信用卡信息:

图1-19 窃取用户信用卡信息

11)SMS_INT_TOGGLE

收到该指令后,替换用户默认短信程序:

图1-20 弹框提示用户

2.3.3 上传服务器地址

目前发现上述指令文件上传的服务器地址有许多个,程序启动后就会不停的进行上传用户设备信息。短短几分钟就达到一百多条上传数据包,域名分别通过随机字母数组随机组成,然后拼接域名不同的后缀进行发送,程序获取指令后进行不同的操作。服务器链接成功的地址为四个,分别如下:

· http://egus****rrmqvj.ru/poll.php

· http://wen****pgfumtk.com/poll.php

· http://nfi****tftasnuk.com/poll.php

· http://gbm****sgkvkdh.ru/poll.php

服务器链接失败的地址如下:

· http://pde****holjjkn.com/poll.php

· http://lnn****stcbmdhn.com/poll.php

· http://ici****cudffbr.com/poll.php

· http://bmp****ttkswfh.com/poll.php

· http://bfw****icedupj.com/poll.php

· http://afh****cjbpln.com/poll.php

· http://uhl****ablfmwm.com/poll.php

· http://aog****qhuokpd.ru/poll.php

· http://apd****rpokfbc.com/poll.php

3. 服务器威胁情报信息

序号


木马(C&C)域名


IP地址


归属地


用途


近期发现时间


1


egus****rmqvj.ru


47.91.***.36


德国


木马回传信息地址


2021-03-17


2


wenk****gfumtk.com


173.231.***.124


173.231.***.8


35.205.***.67


美国


木马回传信息地址


2021-03-25


3


nfiu****tasnuk.com


51.254.***.105


法国


木马回传信息地址


2021-03-25


4


gbms****gkvkdh.ru


206.191.***.37


206.191.***.42


美国


木马回传信息地址


2021-03-25


4. 总结

本次捕获的木马可以看出来此类木马进行了加固并对代码大量的加密混淆,企图加大病毒分析人员的分析难度。病毒采用开启无障碍辅助服务后台运行防止用户卸载,国内也只是通过此服务来开发抢红包功能,可见病毒制作者的狡猾程度。通过仿冒西班牙邮政快递及全球知名快递,虽然仿冒西班牙邮政快递应用针对的是西班牙境内,但是仿冒全球知名快递应用,也极有可能传播到我国。

君子以思患而豫防之,今天木马出现在西班牙,明天就有可能出现在我国。我们应时刻关注国际国内手机安全局势,恒安暗影实验室也会不断监测,为网络安全、移动安全出一份力。

1. 背景

2021年3月初,暗影实验室就发现了几个针对西班牙投放的移动端木马,这些木马从代码结构,到主控地址,到安装名称,再到针对的对象都是极其相似,这是一个有具有针对性的木马传播事件,APP通过仿冒西班牙邮政快递及国际知名快递诱导用户安装使用,从而获取用户设备上的各种敏感信息。

本次发现的APP大致分为两类:一类是仿冒西班牙邮政快递(Correos),一类是仿冒国际知名快递(DHL、FedEx)。

此类木马针对安卓5.0系统到安卓9.0系统,危害范围比较大。需要注意的是,此类木马在启动后,会诱骗用户开启无障碍辅助服务(AccessibilityService)。此服务设计初衷在于帮助残障用户使用android设备和应用,在后台运行,可以监听用户界面的一些状态转换。木马通过此服务监听用户手机界面变化,禁止用户查看应用程序列表,阻止用户卸载此应用。一般用户极难卸载此类木马。

仿冒西班牙邮政快递及国际知名快递的木马通过相同或者相似的安装图标及安装名称诱导用户下载安装,然后通过开启无障碍辅助服务之后,后台获取用户设备上的短信及联系人等信息上传到服务器。

2. 木马分析

2.1 信息汇总

本次发现的APP主要伪装成西班牙邮政快递应用、国际知名快递应用。

MD5


安装名


图标


最低兼容版本


74F88D5480AEFE165721C36100DCF89A


DHL



Android5.0


CBCEE88707CD523D7F1131F26E9DD4AF


Correos



Android5.0


CBCEE88707CD523D7F1131F26E9DD4AF


Correos



Android5.0


1A2A4044CF18EED59E66C413DB766145


FedEx



Android5.0


B991622168F7787CB1A89FC2BDD38A30


FedEx



Android5.0


2.2 运行分析

运行本次发现的木马发现界面极其简单,仿冒西班牙邮政快递、全球著名快递的APP应用图标、应用名称均与快递公司官网图标相似,用户难以区分真伪。

企业微信截图_20210330103602.png

图1-1 仿冒图标

木马启动后诱导用户开启无障碍辅助服务,隐藏图标,并监听用户界面,防止卸载。

企业微信截图_20210330103727.png

图1-2 请求开启无障碍辅助服务并隐藏图标

除此以外,仿冒APP均由随机字母组成的域名前缀加上.ru或者.com域名后缀组成多个域名并启动多个线程进行上传用户隐私信息。

图1-3 随机字母组成域名

通过抓包,发现了多个域名:

图1-4 抓包数据

域名如下:

· http://egus****rrmqvj.ru/poll.php

· http://pde****holjjkn.com/poll.php

· http://lnnr****cbmdhn.com/poll.php

· http://icim****dffbr.com/poll.php

· http://bm****ttkswfh.com/poll.php

· http://we****pgfumtk.com/poll.php

· http://bfw****cedupj.com/poll.php

· http://nfiu****tasnuk.com/poll.php

· http://afh****cjbpln.com/poll.php

· http://uh****ablfmwm.com/poll.php

· http://ao****wqhuokpd.ru/poll.php

· http://ap****drpokfbc.com/poll.php

· http://gb****vsgkvkdh.ru/poll.php

经过分析,发现只有4个域名还能进行访问:

图1-5 有效域名

IP地址均位于境外。

http://egusn****rmqvj.ru/poll.php


德国


http://wenk****gfumtk.com/poll.php


美国


http://nfiue****snuk.com/poll.php


法国


http://gbm****sgkvkdh.ru/poll.php


美国


2.3 指令解析

2.3.1 指令获取

木马通过向指定域名上传用户设备的一些基本信息来下发指令。

图1-6 服务器下发指令

在获得服务器发送的指令后,程序根据指令进行不同的操作。

图1-7 解析指令

2.3.2 oder指令

木马指令进行了一定程度的加密混淆,使分析木马比较困难。

图1-8 指令经过加密混淆

经过测试进行解密后得到指令内容。

图1-9 解密后指令

下图是不同功能的order指令,一共十二种。

1)BLOCK

收到该指令后,程序会停止50秒:

图1-10 程序休眠指令

2)CARD_BLOCK

收到该指令后,启动一个新的线程开启SOCK客户端:


图1-11开启SOCK客户端

3)OPEN_URL

收到此指令后,程序会打开指定内容的界面:

图1-12 打开指定界面

4)RUN_USSD

收到该指令后,程序启动无障碍辅助服务:

图1-13 启动无障碍辅助服务

5)DISABLE_PLAY_PROTECT

收到该指令,程序关闭设备的GooglePlay Protect功能:

图1-14 关闭设备的GooglePlay Protect功能

6)RELOAD_INJECTS

收到该指令后,获取用户设备已安装应用程序列表并上传到服务器:

图1-15 获取设备已安装应用列表

7)SEND_SMS

收到该指令后,发送短信到指定号码:

图1-16 发送短信至指定号码

8)GET_CONTACTS

收到该指令后,获取用户的通讯录并上传到服务器:

图1-17 获取用户设备通讯录

9)UNINSTALL_APP

收到该指令后,卸载用户设备上指定的app:

图1-18 卸载设备指定应用

10)CARD_BLOCK

收到该指令后,弹出窗口获取用户信用卡信息:

图1-19 窃取用户信用卡信息

11)SMS_INT_TOGGLE

收到该指令后,替换用户默认短信程序:

图1-20 弹框提示用户

2.3.3 上传服务器地址

目前发现上述指令文件上传的服务器地址有许多个,程序启动后就会不停的进行上传用户设备信息。短短几分钟就达到一百多条上传数据包,域名分别通过随机字母数组随机组成,然后拼接域名不同的后缀进行发送,程序获取指令后进行不同的操作。服务器链接成功的地址为四个,分别如下:

· http://egus****rrmqvj.ru/poll.php

· http://wen****pgfumtk.com/poll.php

· http://nfi****tftasnuk.com/poll.php

· http://gbm****sgkvkdh.ru/poll.php

服务器链接失败的地址如下:

· http://pde****holjjkn.com/poll.php

· http://lnn****stcbmdhn.com/poll.php

· http://ici****cudffbr.com/poll.php

· http://bmp****ttkswfh.com/poll.php

· http://bfw****icedupj.com/poll.php

· http://afh****cjbpln.com/poll.php

· http://uhl****ablfmwm.com/poll.php

· http://aog****qhuokpd.ru/poll.php

· http://apd****rpokfbc.com/poll.php

3. 服务器威胁情报信息

序号


木马(C&C)域名


IP地址


归属地


用途


近期发现时间


1


egus****rmqvj.ru


47.91.***.36


德国


木马回传信息地址


2021-03-17


2


wenk****gfumtk.com


173.231.***.124


173.231.***.8


35.205.***.67


美国


木马回传信息地址


2021-03-25


3


nfiu****tasnuk.com


51.254.***.105


法国


木马回传信息地址


2021-03-25


4


gbms****gkvkdh.ru


206.191.***.37


206.191.***.42


美国


木马回传信息地址


2021-03-25


4. 总结

本次捕获的木马可以看出来此类木马进行了加固并对代码大量的加密混淆,企图加大病毒分析人员的分析难度。病毒采用开启无障碍辅助服务后台运行防止用户卸载,国内也只是通过此服务来开发抢红包功能,可见病毒制作者的狡猾程度。通过仿冒西班牙邮政快递及全球知名快递,虽然仿冒西班牙邮政快递应用针对的是西班牙境内,但是仿冒全球知名快递应用,也极有可能传播到我国。

君子以思患而豫防之,今天木马出现在西班牙,明天就有可能出现在我国。我们应时刻关注国际国内手机安全局势,恒安暗影实验室也会不断监测,为网络安全、移动安全出一份力。

1. 背景

2021年刚过完春节,暗影实验室就发现了几个针对印度投放的移动端木马,这些木马从代码结构,到主控地址,到安装名称,再到针对的对象都是极其相似,这是一个有预谋的木马传播事件,APP通过仿冒系统应用或者知名软件诱导用户安装使用,从而获取用户设备上的各种敏感信息。

本次发现的APP大致分为两类:一类是仿冒系统应用,一类是仿冒国外流行的聊天软件。

仿冒系统应用的木马在编译时会特意将自己转为兼容旧版系统的软件,系统的最低兼容版本会降低到Android4,这样APP在安装时就会自动授权所有权限,防止出现系统应用向用户索要权限的不合理现象。

仿冒国外知名软件的木马则是会通过相同或者相似的安装名诱导用户下载安装,然后伪造登录、联系人、聊天等页面,用户进行操作时触发相应的权限请求,使得木马可以获取设备上的信息。

2. 木马分析

2.1 信息汇总

本次发现的APP主要伪装成系统Settings应用、WhatsApp以及BoltChat应用。

image.png

2.2 运行分析

运行本次发现的木马发现其界面简单,仿冒聊天类得APP界面上登录的手机号前缀国家代码均是91,为印度境内所属。

企业微信截图_20210311171654.png

图1-1仿冒应用的登录界面

除了仿冒Settings的应用没有登录等操作外,其余仿冒APP均有一个url处理登录、APP联系人等逻辑,主服务器地址经过整理发现两个:

http://www.iwil***you.com

https://cha***sion.000w***ostapp.com/application

经过抓包佐证了分析结果:IP地址均位于境外。

图1-2 数据传输

2.3 指令解析

2.3.1 指令获取

木马指令的获取有一些变化,大致分为两种,一类是硬编码在APP中,包括明文编写和base编码,另一种经过了改进,通过一个固定网址下载配置文件获得主控地址。

1)硬编码地址

一部分APP以字符串的形式明文编写在代码中,如下图:

图1-3 服务器地址硬编码

还有一种以base64编码的形式存储:

图1-4 服务器地址base64编码

经过整理,主控地址主要有以下几个:IP地址均位于荷兰境内。

· 178.132.***.230:5987

· 109.236.***.16:5987

· O***1.d***s.net:5987

· My***xyz.d***s.net:5987

2)配置文件读取

通过APP中base64编码的url获得配置文件:http://trya***horse.com/config.txt,

读取第一行作为真实主控地址,这样可以任意变更主控地址而APP无需改动。

图1-5 从配置文件获取主控地址

2.3.2 oder指令

下图是不同功能的order指令,一共八种。

图1-6 远控命令脑图

3)x0000fm

extra 如果是ls则获得path字段,获取该字段下的目录文件列表:

企业微信截图_20210311174206.png

图1-7 获取目录文件列表

extra 如果是dl则获得path字段,上传该path指定的文件至服务器:

图1-8 上传指定路径文件至服务器

4)x000adm

收到该指令后APP上传设备的通讯录、短信、log日志、几个特定目录(包括Records、Download、DCIM/Camera、Documents、WhatsApp/Media/WhatsAppImages、WhatsApp/Media/WhatsAppDocuments)下的文件。

图1-9 上传设备的通讯录、短信、log日志、目录文件

5)sms

图1-10 sms命令

extra如果是ls则获取短信列表:

图1-11 获取短信列表

extra如果是sendSMS则发送指定内容的短信到指定手机号:

图1-12 发送短信

extra如果是deleteSMS则删除指定内容的短信:

图1-13 删除短信

6)x0000cl

收到该指令则获取设备的通话记录上传到服务器:

图1-14 获取通话记录

7)x0000cn

收到该指令则获取通讯录列表将手机号姓名上传到服务器:

图1-15 获取通讯录

8)x0000mc

该指令获取extra字段然后细分为三个子指令:au、mu、muS:

图1-16 extra字段子指令

extra如果是au则获取sec字段,录制sec秒的音频,保存为sound.mp3,然后上传服务器:

图1-17 录制音频,保存为sound.mp3

extra如果是mu,则执行立即停止录音的操作,然后将录音文件上传服务器,并删除该文件:

企业微信截图_20210311172835.png

图1-18 上传录音文件,并删除保存在本地的录音文件

extra如果是muS,则开启录音,并把该次录音取名sound.mp3:

图1-19 开启录音按钮

9)x0000lm

APP收到该指令则获取用户设备的地理位置上传到服务器:

图1-20 获取地理位置信息

10)x000upd

APP收到该指令则获取path字段,到指定的网址获取APP,下载到本地以system.apk命名,并启动APP安装程序:

图1-21 下载安装其它应用程序

3.3.3 上传服务器地址

目前发现上述指令文件上传的服务器地址有两个,分别通过不同的方式保存,一个是通过base64编码存储,解码后的地址为:http://178.132.***.230:80/server/upload.php

图1-22 base64编码保存的服务器地址

一个是直接明文写在代码中,地址为:http://212.8.***.221:80/server/upload.php:

图1-23 明文保存的服务器地址

3. 服务器整理

将以上获得的服务器地址进行整理:IP地址归属地均位于境外。

· 212.8.***.221:80

· 178.132.***.230:80

· 178.132.***.230:5987

· 109.236.***.16:5987

· obs1.d***s.net:5987

· mya***xyz.d***s.net:5987

· trya***rhorse.com

· www.iwil***eyou.com

· cha***rsion.00***hostapp.com

以下两个地址目前指向同一页面:

· http://www.iwil***reyou.com/

· https://cha***sion.000w***tapp.com/application/

图1-24 服务器后台页面

4. 总结

本次捕获的木马可以看出来在不断的改进,从单纯的明文编码到base64编码隐藏主要地址,再到通过中间服务器获取主控地址,应用虽然针对的是印度,但是安全无国界,恶意应用需要我们时刻警惕,恒安暗影实验室也会不断监测,为网络安全、移动安全出一份力。

1. 背景

2021年刚过完春节,暗影实验室就发现了几个针对印度投放的移动端木马,这些木马从代码结构,到主控地址,到安装名称,再到针对的对象都是极其相似,这是一个有预谋的木马传播事件,APP通过仿冒系统应用或者知名软件诱导用户安装使用,从而获取用户设备上的各种敏感信息。

本次发现的APP大致分为两类:一类是仿冒系统应用,一类是仿冒国外流行的聊天软件。

仿冒系统应用的木马在编译时会特意将自己转为兼容旧版系统的软件,系统的最低兼容版本会降低到Android4,这样APP在安装时就会自动授权所有权限,防止出现系统应用向用户索要权限的不合理现象。

仿冒国外知名软件的木马则是会通过相同或者相似的安装名诱导用户下载安装,然后伪造登录、联系人、聊天等页面,用户进行操作时触发相应的权限请求,使得木马可以获取设备上的信息。

2. 木马分析

2.1 信息汇总

本次发现的APP主要伪装成系统Settings应用、WhatsApp以及BoltChat应用。

image.png

2.2 运行分析

运行本次发现的木马发现其界面简单,仿冒聊天类得APP界面上登录的手机号前缀国家代码均是91,为印度境内所属。

企业微信截图_20210311171654.png

图1-1仿冒应用的登录界面

除了仿冒Settings的应用没有登录等操作外,其余仿冒APP均有一个url处理登录、APP联系人等逻辑,主服务器地址经过整理发现两个:

http://www.iwil***you.com

https://cha***sion.000w***ostapp.com/application

经过抓包佐证了分析结果:IP地址均位于境外。

图1-2 数据传输

2.3 指令解析

2.3.1 指令获取

木马指令的获取有一些变化,大致分为两种,一类是硬编码在APP中,包括明文编写和base编码,另一种经过了改进,通过一个固定网址下载配置文件获得主控地址。

1)硬编码地址

一部分APP以字符串的形式明文编写在代码中,如下图:

图1-3 服务器地址硬编码

还有一种以base64编码的形式存储:

图1-4 服务器地址base64编码

经过整理,主控地址主要有以下几个:IP地址均位于荷兰境内。

· 178.132.***.230:5987

· 109.236.***.16:5987

· O***1.d***s.net:5987

· My***xyz.d***s.net:5987

2)配置文件读取

通过APP中base64编码的url获得配置文件:http://trya***horse.com/config.txt,

读取第一行作为真实主控地址,这样可以任意变更主控地址而APP无需改动。

图1-5 从配置文件获取主控地址

2.3.2 oder指令

下图是不同功能的order指令,一共八种。

图1-6 远控命令脑图

3)x0000fm

extra 如果是ls则获得path字段,获取该字段下的目录文件列表:

企业微信截图_20210311174206.png

图1-7 获取目录文件列表

extra 如果是dl则获得path字段,上传该path指定的文件至服务器:

图1-8 上传指定路径文件至服务器

4)x000adm

收到该指令后APP上传设备的通讯录、短信、log日志、几个特定目录(包括Records、Download、DCIM/Camera、Documents、WhatsApp/Media/WhatsAppImages、WhatsApp/Media/WhatsAppDocuments)下的文件。

图1-9 上传设备的通讯录、短信、log日志、目录文件

5)sms

图1-10 sms命令

extra如果是ls则获取短信列表:

图1-11 获取短信列表

extra如果是sendSMS则发送指定内容的短信到指定手机号:

图1-12 发送短信

extra如果是deleteSMS则删除指定内容的短信:

图1-13 删除短信

6)x0000cl

收到该指令则获取设备的通话记录上传到服务器:

图1-14 获取通话记录

7)x0000cn

收到该指令则获取通讯录列表将手机号姓名上传到服务器:

图1-15 获取通讯录

8)x0000mc

该指令获取extra字段然后细分为三个子指令:au、mu、muS:

图1-16 extra字段子指令

extra如果是au则获取sec字段,录制sec秒的音频,保存为sound.mp3,然后上传服务器:

图1-17 录制音频,保存为sound.mp3

extra如果是mu,则执行立即停止录音的操作,然后将录音文件上传服务器,并删除该文件:

企业微信截图_20210311172835.png

图1-18 上传录音文件,并删除保存在本地的录音文件

extra如果是muS,则开启录音,并把该次录音取名sound.mp3:

图1-19 开启录音按钮

9)x0000lm

APP收到该指令则获取用户设备的地理位置上传到服务器:

图1-20 获取地理位置信息

10)x000upd

APP收到该指令则获取path字段,到指定的网址获取APP,下载到本地以system.apk命名,并启动APP安装程序:

图1-21 下载安装其它应用程序

3.3.3 上传服务器地址

目前发现上述指令文件上传的服务器地址有两个,分别通过不同的方式保存,一个是通过base64编码存储,解码后的地址为:http://178.132.***.230:80/server/upload.php

图1-22 base64编码保存的服务器地址

一个是直接明文写在代码中,地址为:http://212.8.***.221:80/server/upload.php:

图1-23 明文保存的服务器地址

3. 服务器整理

将以上获得的服务器地址进行整理:IP地址归属地均位于境外。

· 212.8.***.221:80

· 178.132.***.230:80

· 178.132.***.230:5987

· 109.236.***.16:5987

· obs1.d***s.net:5987

· mya***xyz.d***s.net:5987

· trya***rhorse.com

· www.iwil***eyou.com

· cha***rsion.00***hostapp.com

以下两个地址目前指向同一页面:

· http://www.iwil***reyou.com/

· https://cha***sion.000w***tapp.com/application/

图1-24 服务器后台页面

4. 总结

本次捕获的木马可以看出来在不断的改进,从单纯的明文编码到base64编码隐藏主要地址,再到通过中间服务器获取主控地址,应用虽然针对的是印度,但是安全无国界,恶意应用需要我们时刻警惕,恒安暗影实验室也会不断监测,为网络安全、移动安全出一份力。

1. 概述

2020年是不平凡的一年,新冠疫情伴随着全年,在此大环境的影响下,不法分子也在铤而走险的偷猎,根据《新冠疫情期间网络诈骗趋势报告》显示,随着春节结束,诈骗分子开始频繁利用网络实施诈骗,其中以金融诈骗和网络赌博诈骗损失最大,人均损失高达五万余元,之后受疫情影响,部分人群收入不稳定,网络借贷“零抵押”“低利息”“低门槛”等虚假广告迎合了众人的心里,给大家财产带来了严重损失。根据2020年全国公安机关网络诈骗案例可以看到,全国共破获电信网络诈骗25.6万起。抓捕涉诈嫌疑人26.3万名,为群众避免直接经济损失1200亿元。

随着越来越多骗术的揭发,诈骗方式也由传统的电话诈骗和钓鱼网站转向为盗取银行卡等个人隐私信息,演变成今日的“杀猪盘”、“套路贷”等,诈骗方式数不胜数、根据《2019年网络诈骗研究报告》显示,金融诈骗、游戏诈骗、兼职诈骗已成为举报量最高的三大诈骗类型,其中,17岁至34岁的人群是网络诈骗受害者最为集中的年龄段,在诸多诈骗方式中,骗子们还会紧跟热点,如各大热剧播放、最火区块链、双十一消费等等。这些足以看出我国网络犯罪呈现出生态化、链条化、国际化和低龄化等普遍趋势。

为避免更多的人上当,恒安嘉新暗影安全实验室对此类网络诈骗现象进行了深入分析,此篇文章为大家揭露网络诈骗中的贷款类诈骗App,希望大家可以对贷款诈骗提高警惕,保护个人财产安全。

2. 贷款类诈骗方式分析

2.1 诈骗流程

民间套路贷款都是以非法占有为目的,假借民间借贷之名,诱使或迫使被害人签订借贷、变相借贷、抵押、担保等相关协议,通过虚增借贷金额、恶意制造违约、肆意认定违约、毁匿还款证据等方式形成虚假债权债务,并借助诉讼、仲裁、公证、采用暴力、威胁以及其他手段非法占有被害人财物。以下是套路贷的几种违法套路。

图2-1 套路贷常规套路图

在此类现象的衍生下,网络贷款因其隐蔽性更成为不法分子的第二选择,网络贷款在兼具传统套路贷方式的同时,还会在工本费、手续费等名义上做文章。

经过对贷款类App的诈骗追踪,我们已经掌握了贷款类App的基本套路,首先诈骗人员会发送诈骗短信到用户手机上,同时也会仿冒官方客服在微信、QQ等社交软件进行退关传播,用户根据链接下载完软件后,一旦填写完贷款信息,会立即生成订单,之后会提示银行卡错误,然后以工本费、解冻费等名义来进行诈骗,如下图所示。

图片2.png

图2-2 诈骗APP流程图

图2-3 银行卡冻结

接下来客服会把责任推给用户,非但不会放款,还会告知用户合同已生效,即使没有拿到钱也要还款,借此威胁用户继续实行诈骗,如图2-4所示。

图2-4 以违约金威胁用户

部分诈骗人员还会以开通微粒贷以及给微粒贷提额的方式进行诈骗,此种方式目的在于骗取申请费和服务费,如图2-5所示。

图2-5 骗取手续费

2.2 获利方式

根据诈骗流程可以看出微粒贷的主要获利方式分为两种一种是利用虚假流水肆意违约导致受害人无力偿还虚假债务来骗取更多贷款,另一种是利用违约金的方式来把控用户的心理,让用户交取所谓的解冻费和工本费,一旦用户上钩,则继续以各种名义拖着用户,让用户重复交钱,下图的对话简明阐述了诈骗人员如何获取利益。

图片3.png

图2-6 诈骗人员获取利益

借贷协议规定,一方以欺诈、胁迫等手段或者乘人之危,使对方在违背真实意思的情况下所形成的借贷关系,应认定为无效,所以软件内部的合同是没有法律效应的,毕竟还没有拿到货款。下面是一位网友遭遇的微粒贷客服发送的P图违规协议,实际上并无法律效应。

图2-7 P图的违规协议

3. 贷款类诈骗特征分析

3.1 概述

2020年,恒安嘉新利用全景态势感知平台、舆情检测等各类方式,检测到大量的贷款类诈骗App,下面从贷款类诈骗App的应用名称特点、代码结构特点、签名特征、服务器域名以及相关数据统计方面阐述其特点。

3.2 安装名称统计

根据我们目前掌握的涉诈类App进行统计,可以看到此类软件包含大量微*贷、**信贷、中金小贷等大量贷款类软件,并且这些贷款类App多数是仿冒正版金融软件,来达到增强用户信任,诱骗用户的目的,如图3-2所示。

image.png

图3-1 安装名称统计

3.3 代码结构统计

对贷款类诈骗App的代码结构进行分析,可以看到排名靠前的样本包名前缀基本为“com.dcloud”、“uni.UNI”、“plus”等开头的格式,相同包结构基本可以确定为同一组织或者相同的封装平台进行批量开发或者封装打包,常见的打包封装平台有DCloud、APICloud、不凡等打包平台,如图3-3、3-4所示。

image.png

图3-2 包名结构TOP10

企业微信截图_20210304112138.png

图3-3 com.dcloud包名结构对比

3.4 签名信息统计

对样本包名结构TOP5进行签名信息提取,根据包名与签名对比,如图3-6所示,此类样本多数会使用7dd12840和谷歌签名。

image.png

图3-4 签名top10

3.5 审核机制不严

贷款类App意在诈骗,所以在申请贷款时,不会对用户的身份信息进行审核,从而降低“贷款人”贷款风险以及难度,进一步的诱导“贷款人”步步深入。如图3-9所示,在使用虚拟身份申请贷款时,依然可以申请成功。

企业微信截图_20210304112318.png

图3-5 虚拟身份申请

3.6 服务器地址分析

根据提取服务器地址进行追踪分析,可以看出此类软件物理地址多在国外和香港,并且均无备案信息,如图3-10所示,对同一家族样本服务器进行统计,可以看到该家族样本为规避检查,服务器变更频繁,如图3-11所示:

image.png

图3-6 境外服务器分布情况

image.png

图3-7 同一家样本族服务器以及IP

4. 贷款类诈骗事件统计

由于贷款类诈骗案件高发,2020年4月份起,恒安嘉新开始对北京市地区的贷款类诈骗事件进行监控,4月到12月份累计监测到贷款类诈骗事件131260条,详细数据分布如图4-1所示。从图中可以看出,监测之初全北京地区就有大量的贷款诈骗事件发生,后续我司配合公安机关加强对贷款APP以及贷款网站的发现以及处置,对贷款诈骗进行了有效打击,截断了诈骗途径。截至目前,11月到12月份整体有一定抬头趋势。

image.png

图4-1 2020年月度贷款类高危事件数量统计

5. 贷款类诈骗溯源案例

5.1 溯源追踪案例

我们经过对贷款软件的整体深度分析,对相关链接进行深度溯源追踪,以下为诈骗短信链接,以及整体溯源分析流程。根据最终溯源结果,可以看到此次共溯源出一家公司太原市汇吉多商贸有限公司以及公司的法人殷建鹏。

图5-1 诈骗短信链接

图5-2 整体溯源流程

与客服进行沟通,尽管客服表示自己是正规微粒贷,但仍然改变不了仿冒的身份。

图5-3 与客服沟通

以下是此软件的后台交互信息,可以看到此软件一直在与https://g***.com进行交互。

图5-4 后台交互信息

在于客服沟通过程中,我们抓到了客服人员的后台网址信息,http://m*****.com,如下图所示:

图5-5 客服网址信息

对网站http://g*****.com进行IP以及备案查询,此网站并无备案信息,IP显示归属为香港,如下图所示:

图5-6 IP归属地址

对此软件的下载链接http://w6.me*****.cc进行WHOIS以及IP查询,可以看到此网站的联系邮箱为aliyun邮箱,IP地址为222.*.*.154,物理地址为江苏省镇江市。

图5-7 whois查询以及IP信息

对此链接进行备案查询,备案为太原市***商贸有限公司:

图5-8 网址溯源追踪

5.2 扩展溯源挖掘

在对上述样本进行分析总结中,我们发现涉诈类样本除了贷款类App,还有一类样本涉及诈骗,此类样本名字多为安全防护、公安防护等,此类样本意在仿冒公检法部门的App,用户安装后会主动上传用户通讯录、短信、银行卡等隐私信息至远程服务器,对用户造成金钱上的损失,危害性极大。

图5-9 图标信息

企业微信截图_20210304112835.png

图5-10 安装界面

5.2.1 技术分析

此类样本在运行后会上传用户的通话记录、通讯录信息到指定服务器。

图5-11 获取通话记录

图5-12 获取通讯录信息

上传用户的短信隐私信息到指定服务器。

图5-13 获取短信信息

诱导用户填写银行卡等隐私信息。

图5-14 诱导用户填写银行卡信息

拦截并上传用户短信。

图5-15 拦截并上传用户短信息

以下是上传隐私至服务器的抓包信息。

图5-16 上传用户隐私信息到指定服务器

5.2.2 服务器地址分析

目前共抓取到上传隐私的服务器地址21条,此类服务器皆以IP地址为主,并无备案信息,且多数为158.247.*.*和141.164.*.*号段,经过查询,此类服务器地址IP物理地址信息为韩国首尔Choopa数据中心,此类样本的下载地址也与服务器上传地址对应。

表5-1 服务器地址以及IP物理地址信息

服务器地址


IP物理地址信息


http://158.247.***.122/msky/v1.0/


韩国 首尔Choopa数据中心


http://158.247.***.130/msky/v1.0


韩国 首尔Choopa数据中心


http://158.247.***.83/msky/v1.0/


韩国 首尔Choopa数据中心


http://158.247.***.166/msky/v1.0


韩国 首尔Choopa数据中心


http://158.247.***.68/msky/v1.0/


韩国 首尔Choopa数据中心


http://158.247.***.74/msky/v1.0


韩国 首尔Choopa数据中心


http://158.247.***.187/msky/v1.0/


韩国 首尔Choopa数据中心


http://158.247.***.115/msky/v1.0/


韩国 首尔Choopa数据中心


http://158.247.***.139/msky/v1.0/


韩国 首尔Choopa数据中心


http://141.164.***.87/msky/v1.0/


韩国 首尔Choopa数据中心


http://141.164.***.62/msky/v1.0/


韩国 首尔Choopa数据中心


http://141.164.***.170/msky/v1.0/


韩国 首尔Choopa数据中心


http://141.164.***.94/msky/v1.0/


韩国 首尔Choopa数据中心


http://141.164.***.29/msky/v1.0/


韩国 首尔Choopa数据中心


http://141.164.***.44/msky/v1.0/


韩国 首尔Choopa数据中心


http://141.164.***.191/msky/v1.0


韩国 首尔Choopa数据中心


http://141.164.***.146/msky/v1.0/


韩国 首尔Choopa数据中心


http://141.164.***.202/msky/v1.0/


韩国 首尔Choopa数据中心


http://141.164.***.169/msky/v1.0/


韩国 首尔Choopa数据中心


http://141.164.***.61/msky/v1.0/


韩国 首尔Choopa数据中心


http://160.124.***.97:2039/App/input.php


香港


6. 如何避免被骗

· 网络贷款是有一定风险性的,如利率高、缺乏监管等等,但如果因为风险就提前交押金、工本费等这种都是属于非正规机构,正规的贷款机构在放贷前不会收取任何费用;

· 如果需要贷款,一定要提高防骗意识,同时还要注意以下几点:公司是否有运营资质,公司的网站是否备案,公司的客服电话是否正规,贷款金额与利息是否离谱,此家公司是否有负面信息,这些信息都是可以网上自主查到的,一旦有存疑的地方,那么贷款就需要慎重考虑了。

1. 概述

2020年是不平凡的一年,新冠疫情伴随着全年,在此大环境的影响下,不法分子也在铤而走险的偷猎,根据《新冠疫情期间网络诈骗趋势报告》显示,随着春节结束,诈骗分子开始频繁利用网络实施诈骗,其中以金融诈骗和网络赌博诈骗损失最大,人均损失高达五万余元,之后受疫情影响,部分人群收入不稳定,网络借贷“零抵押”“低利息”“低门槛”等虚假广告迎合了众人的心里,给大家财产带来了严重损失。根据2020年全国公安机关网络诈骗案例可以看到,全国共破获电信网络诈骗25.6万起。抓捕涉诈嫌疑人26.3万名,为群众避免直接经济损失1200亿元。

随着越来越多骗术的揭发,诈骗方式也由传统的电话诈骗和钓鱼网站转向为盗取银行卡等个人隐私信息,演变成今日的“杀猪盘”、“套路贷”等,诈骗方式数不胜数、根据《2019年网络诈骗研究报告》显示,金融诈骗、游戏诈骗、兼职诈骗已成为举报量最高的三大诈骗类型,其中,17岁至34岁的人群是网络诈骗受害者最为集中的年龄段,在诸多诈骗方式中,骗子们还会紧跟热点,如各大热剧播放、最火区块链、双十一消费等等。这些足以看出我国网络犯罪呈现出生态化、链条化、国际化和低龄化等普遍趋势。

为避免更多的人上当,恒安嘉新暗影安全实验室对此类网络诈骗现象进行了深入分析,此篇文章为大家揭露网络诈骗中的贷款类诈骗App,希望大家可以对贷款诈骗提高警惕,保护个人财产安全。

2. 贷款类诈骗方式分析

2.1 诈骗流程

民间套路贷款都是以非法占有为目的,假借民间借贷之名,诱使或迫使被害人签订借贷、变相借贷、抵押、担保等相关协议,通过虚增借贷金额、恶意制造违约、肆意认定违约、毁匿还款证据等方式形成虚假债权债务,并借助诉讼、仲裁、公证、采用暴力、威胁以及其他手段非法占有被害人财物。以下是套路贷的几种违法套路。

图2-1 套路贷常规套路图

在此类现象的衍生下,网络贷款因其隐蔽性更成为不法分子的第二选择,网络贷款在兼具传统套路贷方式的同时,还会在工本费、手续费等名义上做文章。

经过对贷款类App的诈骗追踪,我们已经掌握了贷款类App的基本套路,首先诈骗人员会发送诈骗短信到用户手机上,同时也会仿冒官方客服在微信、QQ等社交软件进行退关传播,用户根据链接下载完软件后,一旦填写完贷款信息,会立即生成订单,之后会提示银行卡错误,然后以工本费、解冻费等名义来进行诈骗,如下图所示。

图片2.png

图2-2 诈骗APP流程图

图2-3 银行卡冻结

接下来客服会把责任推给用户,非但不会放款,还会告知用户合同已生效,即使没有拿到钱也要还款,借此威胁用户继续实行诈骗,如图2-4所示。

图2-4 以违约金威胁用户

部分诈骗人员还会以开通微粒贷以及给微粒贷提额的方式进行诈骗,此种方式目的在于骗取申请费和服务费,如图2-5所示。

图2-5 骗取手续费

2.2 获利方式

根据诈骗流程可以看出微粒贷的主要获利方式分为两种一种是利用虚假流水肆意违约导致受害人无力偿还虚假债务来骗取更多贷款,另一种是利用违约金的方式来把控用户的心理,让用户交取所谓的解冻费和工本费,一旦用户上钩,则继续以各种名义拖着用户,让用户重复交钱,下图的对话简明阐述了诈骗人员如何获取利益。

图片3.png

图2-6 诈骗人员获取利益

借贷协议规定,一方以欺诈、胁迫等手段或者乘人之危,使对方在违背真实意思的情况下所形成的借贷关系,应认定为无效,所以软件内部的合同是没有法律效应的,毕竟还没有拿到货款。下面是一位网友遭遇的微粒贷客服发送的P图违规协议,实际上并无法律效应。

图2-7 P图的违规协议

3. 贷款类诈骗特征分析

3.1 概述

2020年,恒安嘉新利用全景态势感知平台、舆情检测等各类方式,检测到大量的贷款类诈骗App,下面从贷款类诈骗App的应用名称特点、代码结构特点、签名特征、服务器域名以及相关数据统计方面阐述其特点。

3.2 安装名称统计

根据我们目前掌握的涉诈类App进行统计,可以看到此类软件包含大量微*贷、**信贷、中金小贷等大量贷款类软件,并且这些贷款类App多数是仿冒正版金融软件,来达到增强用户信任,诱骗用户的目的,如图3-2所示。

image.png

图3-1 安装名称统计

3.3 代码结构统计

对贷款类诈骗App的代码结构进行分析,可以看到排名靠前的样本包名前缀基本为“com.dcloud”、“uni.UNI”、“plus”等开头的格式,相同包结构基本可以确定为同一组织或者相同的封装平台进行批量开发或者封装打包,常见的打包封装平台有DCloud、APICloud、不凡等打包平台,如图3-3、3-4所示。

image.png

图3-2 包名结构TOP10

企业微信截图_20210304112138.png

图3-3 com.dcloud包名结构对比

3.4 签名信息统计

对样本包名结构TOP5进行签名信息提取,根据包名与签名对比,如图3-6所示,此类样本多数会使用7dd12840和谷歌签名。

image.png

图3-4 签名top10

3.5 审核机制不严

贷款类App意在诈骗,所以在申请贷款时,不会对用户的身份信息进行审核,从而降低“贷款人”贷款风险以及难度,进一步的诱导“贷款人”步步深入。如图3-9所示,在使用虚拟身份申请贷款时,依然可以申请成功。

企业微信截图_20210304112318.png

图3-5 虚拟身份申请

3.6 服务器地址分析

根据提取服务器地址进行追踪分析,可以看出此类软件物理地址多在国外和香港,并且均无备案信息,如图3-10所示,对同一家族样本服务器进行统计,可以看到该家族样本为规避检查,服务器变更频繁,如图3-11所示:

image.png

图3-6 境外服务器分布情况

image.png

图3-7 同一家样本族服务器以及IP

4. 贷款类诈骗事件统计

由于贷款类诈骗案件高发,2020年4月份起,恒安嘉新开始对北京市地区的贷款类诈骗事件进行监控,4月到12月份累计监测到贷款类诈骗事件131260条,详细数据分布如图4-1所示。从图中可以看出,监测之初全北京地区就有大量的贷款诈骗事件发生,后续我司配合公安机关加强对贷款APP以及贷款网站的发现以及处置,对贷款诈骗进行了有效打击,截断了诈骗途径。截至目前,11月到12月份整体有一定抬头趋势。

image.png

图4-1 2020年月度贷款类高危事件数量统计

5. 贷款类诈骗溯源案例

5.1 溯源追踪案例

我们经过对贷款软件的整体深度分析,对相关链接进行深度溯源追踪,以下为诈骗短信链接,以及整体溯源分析流程。根据最终溯源结果,可以看到此次共溯源出一家公司太原市汇吉多商贸有限公司以及公司的法人殷建鹏。

图5-1 诈骗短信链接

图5-2 整体溯源流程

与客服进行沟通,尽管客服表示自己是正规微粒贷,但仍然改变不了仿冒的身份。

图5-3 与客服沟通

以下是此软件的后台交互信息,可以看到此软件一直在与https://g***.com进行交互。

图5-4 后台交互信息

在于客服沟通过程中,我们抓到了客服人员的后台网址信息,http://m*****.com,如下图所示:

图5-5 客服网址信息

对网站http://g*****.com进行IP以及备案查询,此网站并无备案信息,IP显示归属为香港,如下图所示:

图5-6 IP归属地址

对此软件的下载链接http://w6.me*****.cc进行WHOIS以及IP查询,可以看到此网站的联系邮箱为aliyun邮箱,IP地址为222.*.*.154,物理地址为江苏省镇江市。

图5-7 whois查询以及IP信息

对此链接进行备案查询,备案为太原市***商贸有限公司:

图5-8 网址溯源追踪

5.2 扩展溯源挖掘

在对上述样本进行分析总结中,我们发现涉诈类样本除了贷款类App,还有一类样本涉及诈骗,此类样本名字多为安全防护、公安防护等,此类样本意在仿冒公检法部门的App,用户安装后会主动上传用户通讯录、短信、银行卡等隐私信息至远程服务器,对用户造成金钱上的损失,危害性极大。

图5-9 图标信息

企业微信截图_20210304112835.png

图5-10 安装界面

5.2.1 技术分析

此类样本在运行后会上传用户的通话记录、通讯录信息到指定服务器。

图5-11 获取通话记录

图5-12 获取通讯录信息

上传用户的短信隐私信息到指定服务器。

图5-13 获取短信信息

诱导用户填写银行卡等隐私信息。

图5-14 诱导用户填写银行卡信息

拦截并上传用户短信。

图5-15 拦截并上传用户短信息

以下是上传隐私至服务器的抓包信息。

图5-16 上传用户隐私信息到指定服务器

5.2.2 服务器地址分析

目前共抓取到上传隐私的服务器地址21条,此类服务器皆以IP地址为主,并无备案信息,且多数为158.247.*.*和141.164.*.*号段,经过查询,此类服务器地址IP物理地址信息为韩国首尔Choopa数据中心,此类样本的下载地址也与服务器上传地址对应。

表5-1 服务器地址以及IP物理地址信息

服务器地址


IP物理地址信息


http://158.247.***.122/msky/v1.0/


韩国 首尔Choopa数据中心


http://158.247.***.130/msky/v1.0


韩国 首尔Choopa数据中心


http://158.247.***.83/msky/v1.0/


韩国 首尔Choopa数据中心


http://158.247.***.166/msky/v1.0


韩国 首尔Choopa数据中心


http://158.247.***.68/msky/v1.0/


韩国 首尔Choopa数据中心


http://158.247.***.74/msky/v1.0


韩国 首尔Choopa数据中心


http://158.247.***.187/msky/v1.0/


韩国 首尔Choopa数据中心


http://158.247.***.115/msky/v1.0/


韩国 首尔Choopa数据中心


http://158.247.***.139/msky/v1.0/


韩国 首尔Choopa数据中心


http://141.164.***.87/msky/v1.0/


韩国 首尔Choopa数据中心


http://141.164.***.62/msky/v1.0/


韩国 首尔Choopa数据中心


http://141.164.***.170/msky/v1.0/


韩国 首尔Choopa数据中心


http://141.164.***.94/msky/v1.0/


韩国 首尔Choopa数据中心


http://141.164.***.29/msky/v1.0/


韩国 首尔Choopa数据中心


http://141.164.***.44/msky/v1.0/


韩国 首尔Choopa数据中心


http://141.164.***.191/msky/v1.0


韩国 首尔Choopa数据中心


http://141.164.***.146/msky/v1.0/


韩国 首尔Choopa数据中心


http://141.164.***.202/msky/v1.0/


韩国 首尔Choopa数据中心


http://141.164.***.169/msky/v1.0/


韩国 首尔Choopa数据中心


http://141.164.***.61/msky/v1.0/


韩国 首尔Choopa数据中心


http://160.124.***.97:2039/App/input.php


香港


6. 如何避免被骗

· 网络贷款是有一定风险性的,如利率高、缺乏监管等等,但如果因为风险就提前交押金、工本费等这种都是属于非正规机构,正规的贷款机构在放贷前不会收取任何费用;

· 如果需要贷款,一定要提高防骗意识,同时还要注意以下几点:公司是否有运营资质,公司的网站是否备案,公司的客服电话是否正规,贷款金额与利息是否离谱,此家公司是否有负面信息,这些信息都是可以网上自主查到的,一旦有存疑的地方,那么贷款就需要慎重考虑了。

概述:

临近年底,黑客利用钓鱼网站分发恶意软件的热情并未熄火。近日安全研究人员发现了一批新的android木马程序,这批木马程序通过在安全应用的启动程序中加入自身的恶意代码或修改安全应用的启动组件,然后将应用程序重打包,以达到窃取用户隐私数据的目的。修改后的应用看起来与安全的应用程序完全相同,甚至可执行其正常功能。

这批木马程序主要针对巴基斯坦用户,程序启动后首先连接服务器下载恶意dex文件,通过加载恶意的dex文件执行窃取用户通讯录、短信息、通话记录、文件等信息的行为。并不影响原程序的执行流程,用户难以发现恶意软件的异常行为。

1. 发现过程

在域名为pmdu.info的钓鱼网站上托管着修改后的由巴基斯坦政府发行的PakistanCitizen Portal 应用程序,PakistanCitizen Portal 应用程序是由一个名为PMDU的政府机构于2019年创建的,其真正托管在域名为gov.pk的网站上。

图1-1 托管恶意程序的钓鱼网站

图1-2 伪造googleplay页面

用户无论点击以下那个按钮都会直接下载该恶意程序:

图1-3 下载连接

其中研究人员在巴基斯坦一家私人公司巴基斯坦贸易有限公司(TCP)的官方网站页面上发现了托管该恶意软件的网址,该链接直接指向钓鱼网站。怀疑该网站招到了黑客的破坏。

图1-4 TCP网站程序钓鱼网站链接

2. 样本信息

除了重打包PakistanCitizen Portal 应用程序外,我们还发现了该木马的同源样本,这些应用程序都是针对巴基斯坦用户。

image.png

2.1 文件结构

安全的应用程序与被重打包的应用程序文件目录大致相同:

图2-1 文件结构对比

黑客修改了安全应用的启动组件:

图2-2 启动程序对比

并在启动程序中加入了自身代码,从而控制程序执行流程:

图2-3 启动程序中加入自身代码

2.2 程序图标

图2-1 应用图标

2.3 程序运行界面

图2-2 程序运行界面

2.4 程序运行流程

这些应用程序都是通过在安全应用的启动代码中加入自身代码或修改安全应用的启动组件来改变程序执行流程,从而达到窃取用户隐私数据的目的,恶意功能执行完毕便回归到合法程序的政常执行流程。

图2-3 程序运行流程图

3. 行为分析

3.1 动态加载恶意代码

程序启动首先会发送设备的唯一IMEI标识符和时间戳以及用户名和密码组合("abc"、"def")提交到服务器。提交此信息后,应用程序立即从服务器下载DEX有效负载class.dex,然而加载DEX文件执行其恶意代码。在大多数情况下,有效负载名为class.dex,但是Trojanized TPLInsurance应用程序会检索名为class_tpl.dex的有效负载。

图3-1下载class.dex文件

从服务器下载DEX文件并保存在本地文件目录,接着从本地加载DEX文件。

图3-2 加载DEX文件

3.2 窃取用户隐私数据

调用DEX文件中的loadData方法,窃取用户设备、位置、联系人、短信、通话记录、文件信息:

图3-3 执行恶意程序

为了隐藏自身,恶意程序对服务器地址进行了AES加密,且对上传的用户隐私数据进行亦或加密:

图3-4 服务器地址加密密钥

恶意软件上传用户设备所以文件列表:

图片1.png

图3-5 上传用户文件信息

网络请求数据包:

图片2.png

图3-6 服务器请求

Pakistan CitizenPortal 应用程序以及其他一些应用程序将窃取的用户信息上传到域名p***hat.online、172.16.***.72的服务器,而伪造的TPLInsurance应用程序将其窃取的数据上传到域名为tpli***rance.xyz的服务器。

服务器列表:

服务器地址

功能

http://pa***hat.online/Chat_view/api/json/log_data.php

上传设备IMEI、用户名、密码

http://pa**at.online/Chat_view/api/dex/class.dex

下载class.dex

http://pa**at.online/Chat_view/api/device_info.php

上传设备信息

http://pa***hat.online/Chat_view/api/json/contact.php

上传联系人信息

http://pa***hat.online/Chat_view/api/json/message.php

上传短信息

http://pa***hat.online/Chat_view/api/json/call_log.php

上传通话记录

http://pa***hat.online/Chat_view/api/file_manager.php

上传文件目录

http://pa***hat.online/Chat_view/api/files_up.php

上传文件信息

http://tpli***rance.xyz/insurance/products/json/log_data.php

上传设备IMEI、用户名、密码

http://tplin***ance.xyz/insurance/products/dex/class_tpl.dex

下载class.dex

http://tplins***nce.xyz/insurance/products/device_info.php

上传设备信息

http://tpli***rance.xyz/insurance/products/location.php

上传位置信息

http://tpli***rance.xyz/insurance/products/contact.php

上传联系人信息

http://tplin***rance.xyz/insurance/products/message.php

上传短信息

http://tpli***rance.xyz/insurance/products/call_log.php

上传通话记录

http://tpli***rance.xyz/insurance/products/file_manager.php

上传文件目录

http://tplin***ance.xyz/insurance/products/files_up.php

上传文件信息

http://172.16.***.72/fury/api/device_info.php          

上传设备信息

http://172.16.***.72/fury/api/json/contact.php

上传联系人信息

http://172.16.***.72/fury/api/json/message.php

上传短信息

http://172.16.***.72/fury/api/dex/class.dex

下载class.dex

http://172.16.***.72/fury/api/json/call_log.php

上传通话记录

https://kv33.z***to.org:8887/mobisync

上传获取的所以用户隐私数据

3.3 延迟执行数据上传行为

其中PakistanSalat Time程序的窃取用户隐私数据的恶意代码直接写在合法程序中,并直接通过广播触发窃取用户隐私数据的服务。

 

图3-8通过广播促发相应恶意服务

该应用程序除了具有与PakistanCitizen Portal 应用程序一样的窃取用户隐私数据的行为外,还会对用户录音及上传屏幕截屏信息,具有监控性质。

图3-9 执行恶意程序

上传用户隐私数据,服务器地址:https://kv33.z***to.org:8887/mobisync

图3-10 保存收集的用户隐私数据

图3-11 上传至服务器

该应用程序并不会马上上传用户隐私数据,而是设置了一个值,当这个值大于50便上传,如果小于50便休眠50s,所以分析人员一开始并不会发现他上传用户隐私数据行为。

图3-12 设置验证执行

4. 平台介绍

目前,恒安嘉新App全景态势与情报溯源挖掘平台针对300多家公开渠道以及非公开渠道进行持续的监测,支持App恶意程序、安全漏洞、违法违规收集使用用户个人信息,威胁内容等方面多维度检测,支持App全维度的情报数据提取,建立App丰富的情报库,并提供专业的检测报告,可以为移动应用开发商、运营商、公安等不同行业提供App安全漏洞检测,恶意程序检测,家族样本聚类,样本关联分析、黑产线索扩展、溯源,大屏展示等专业的服务,同时平台支持私有化部署、SaaS云服务部署。

5. 安全建议

· 用户安装所需软件,建议去正规的应用市场下载、去官方下载。

· 在手机当中安装必要的安全软件,并保持安全软件更新。

IOC

Pa***hat.online

Tpli***rance.xyz

kv33.z**to.org

172.16.***.72