控制指令高達二十多種:遠控木馬Dendoroid.B分析報告
責編:admin |2015-04-27 11:01:31近期,360團隊截獲了一款功能強大的專業間諜軟件,它可以通過PC端遠程控制中招用戶的手機,控制指令高達二十多種,竊取用戶手機通訊錄,短信,照片及其它重要隱私數據。這個遠控木馬與去年知名的Android.Dendoroid木馬家族手段非常相似,所以我們將其命名為Android.Dendoroid.B。
一、木馬Android受控端惡意行為分析
1.釋放文件,隱藏圖標,啟動惡意服務
Android.Dendoroid.B啟動后會根據系統版本釋放自身Assets目錄下的testv7或testv5文件到/data/data/{packagename}目錄下重命名為test;申請Root權限,釋放su后門文件ssu到/system/bin目錄下。隱藏自身圖標,運行test文件:
test為ELF文件,主要功能為通過命令行的方式啟動惡意服務WorkServer:
2.頻繁結束安全軟件進程
我們發現該木馬在各處重要的惡意行為節點上頻繁地結束國內主流安全軟件進程,破壞安全軟件正常運行,木馬的自我保護給用戶手機帶來更大安全風險:
能夠結束以下安全軟件:
3.通話過程中自動錄音
通過監控電話狀態改變,來實現通話錄音,每當被控手機來電時,木馬會自動開啟錄音功能,并保存錄音文件:
4.通過聯網獲取指令的方式實現遠程控制
通過向中招手機發送不同的指令,以達到相應的行為控制。指令名稱、功能及向PC端返回的響應如下表:
5.暫未實現的其它功能
木馬受控端除了以上這些功能,我們還在代碼中發現了解密微信聊天記錄的部分代碼,以及通過短信指令遠程控制的代碼,但該部分代碼未被調用:
二、FTP服務器分析
從上面的指令列表中,可以發現隱私數據大部分都被上傳到了病毒作者的FTP服務器,地址為121.199.2*.***,用戶名和密碼為root,登錄進去后,FTP中的文件列表如下:
在服務器中我們發現并梳理了以下幾個重要的文件,其中一些文件是已經從用被監控手機中實際上傳的用戶隱私:
其中bf.zip中是一個工程名為“SimpleServer”的Java代碼,我們通過分析這個工程代碼發現其主要功能是為了解析PC主控端與手機APK受控端之間的通信,關系如圖:
解析Android受控端發送的指令的代碼:
解析PC主控端發送指令的代碼:
另一個文件“muma.rar”以“木馬”拼音命名不得不引起我們的關注,我們發現這個里面有大量.php文件并且發現了下面這個圖片,由此可以看出這正是去年我們播報過的Android.Dendoroid的源碼,這也是我們將該木馬命名為Android.Dendoroid.B的另一個原因。
三、木馬PC主控端分析
FTP上的PE文件MySocketServer.exe是木馬Android.Dendoroid.B的主控端,主控端用于發送遠控指令和接收受控端返回的隱私信息。
我們在實際驗證中點擊了聯系人按鈕,很快返回了中招用戶手機中的聯系人列表:
另外,我們還在該軟件上發現了一個網址http://www.yunkong8.com/ ,該網址顯示是一個專業的監控類軟件售賣的網站,軟件功能頁面中介紹可以用手機或者使用其他電腦瀏覽網頁來遠控指定的PC客戶端,網站中沒有提到可以通過PC端遠控手機端,我們猜測這有可能是未公開的軟件功能或是定制版本。
四、感染用戶
根據360互聯網安全中心數據顯示,最近兩個月里有若干用戶感染了該木馬,地區包括:蚌埠、荊州、武漢、海口。
五、關于病毒作者
從受控端樣本代碼中發現,我們還在一個未調用的Mail類中,發現了一個QQ郵箱:84777****@qq.com,該類無任何調用,通過360全量樣本的大數據的計算回查,發現該QQ郵箱曾用在了多個惡意樣本中,而這些樣本具有相同的Mail類并能夠被正常調用。因此可以得出,該木馬是經過了不斷演變進化的,歷史上曾經使用郵件的方式竊取用戶隱私,而當前已經演變成使用FTP竊取回傳隱私,回傳的內容更加豐富,方式更加隱蔽
針對此qq號我們進行了追尋,發現是來自四川瀘州昵稱為“老A”的程序員。
通過進一步追蹤,定位到了“老A”的具體信息:
楊**(常用昵稱:lzyyf,老A)
2010級瀘州二中
2013年9月至2017年9月,就讀韓國蔚山大學
曾經使用另一QQ號:139*******,并曾經于2014年初在多個論壇中擴散類似木馬
在他的微博中也多次發布木馬信息:
通過360后臺云查信息等大數據分析,我們發現還有其他的一些人員也與木馬有關,猜測可能是買馬人。
手機串號????????????? 所在地
35291106045****??? 中國 東北 黑龍江省 哈爾濱市
35713905461****???? 中國 華南 廣東省 深圳市
35260505594****???? 中國 華東 江西省 南昌市
六、總結
從Android.Dendoroid.B木馬家族可以看出,這種偽裝成系統應用的遠控類隱私竊取木馬家族,不是依靠第三方市場傳播而是通過網站售賣或地下黑產交易,然后被不法人員植入到指定的監控對象中,它具備單點傳播,感染特定對象,潛伏時間長,造成單點損失大等特點。建議用戶提高個人隱私保護意識,同時安裝安全軟件定期掃描檢查軟件安全性。
文章來源:FreeBuf黑客與極客(FreeBuf.COM)