压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

1、概述

啟明星辰AdLab近期追蹤到一個(gè)新出現(xiàn)的Android惡意木馬樣本，該惡意木馬主要通過釣魚APP來(lái)竊取用戶銀行及理財(cái)APP登錄憑證，能夠通過創(chuàng)建本地代理來(lái)竊取Google賬戶登錄憑證，且具備遠(yuǎn)程控制感染機(jī)的能力。依據(jù)樣本關(guān)聯(lián)分析我們發(fā)現(xiàn)，該同類型的樣本之前被Mcafee披露過（其在8月28日將該銀行木馬命名為：Android/MoqHao），并且還發(fā)現(xiàn)惡意代碼背后的黑客早在2013年就開始針對(duì)韓國(guó)的手機(jī)用戶進(jìn)行釣魚攻擊。直到2015年，該黑客組織開始利用偽造的Chrome更新消息來(lái)進(jìn)行傳播，并且開始利用QQ空間等社交網(wǎng)絡(luò)賬戶來(lái)配置C&C服務(wù)器地址。本次啟明星辰ADLab追蹤到的惡意代碼樣本為9月中旬的最新樣本，該樣本利用了百度賬戶來(lái)設(shè)置C&C服務(wù)器，不過C&C服務(wù)器IP進(jìn)行了加密處理。通過對(duì)該惡意代碼的分析我們發(fā)現(xiàn)其具有如下特點(diǎn)：

（1） 通過短信傳播
（2） 偽裝成Chrome瀏覽器更新欺騙用戶下載。
（3） 通過BASE64編碼將惡意dex文件隱藏于資源目錄。
（4） 創(chuàng)建手機(jī)代理服務(wù)的方式來(lái)竊取Google賬戶憑證。
（5）通過百度個(gè)人賬戶來(lái)更新C&C服務(wù)器地址。目前涉及到的攻擊者百度賬戶頁(yè)面有http://www.baidu.com/p/dajiahao188384/detail 和http://www.baidu.com/p/womenhao183527/detail，解密后的C&C服務(wù)器地址為：111.240.228.234:8833。
（6） 利用加密的WebSocket協(xié)議通信。
（7）使用了類似RPC的機(jī)制來(lái)實(shí)現(xiàn)遠(yuǎn)程控制。
（8） 替換合法金融類APP為釣魚APP，竊取登錄憑證。

該樣本相關(guān)信息見表1：

表1 樣本相關(guān)信息

2、木馬行為簡(jiǎn)介

該惡意木馬偽裝成Chrome瀏覽器更新包來(lái)欺騙用戶下載，并且該惡意木馬運(yùn)行后會(huì)不斷提示用戶激活其設(shè)備管理員權(quán)限（見圖1），一旦其設(shè)備管理員權(quán)限被激活，該惡意木馬就隱藏自身的圖標(biāo)。這樣，普通用戶很難卸載掉該惡意木馬，從而使該惡意木馬長(zhǎng)期駐留在受害用戶的設(shè)備中。

圖1 提示用戶激活設(shè)備管理員權(quán)限

該樣本原始包充當(dāng)了類似殼的角色，真實(shí)的惡意dex文件被加密保存在原始包的assets目錄下，原始包在運(yùn)行時(shí)解密加載其惡意dex文件來(lái)實(shí)現(xiàn)惡意攻擊。解密后的dex文件經(jīng)過了嚴(yán)重的混淆。我們對(duì)其深入分析后發(fā)現(xiàn)，惡意木馬在運(yùn)行時(shí)，通過Http請(qǐng)求獲取攻擊者提前在其百度個(gè)人賬戶頁(yè)面配置好的加密過的C&C服務(wù)器地址，請(qǐng)求成功返回后，再對(duì)C&C服務(wù)器進(jìn)行解密。獲取到C&C服務(wù)器地址后，該惡意木馬會(huì)使用加密的WebSocket協(xié)議來(lái)和C&C服務(wù)器通信。值得注意的是，該惡意木馬和C&C服務(wù)器均各自實(shí)現(xiàn)了自己的RPC函數(shù)，通信雙方利用這些RPC函數(shù)來(lái)達(dá)到數(shù)據(jù)竊取和遠(yuǎn)程控制的目的 （示意圖見圖2）。

圖2 惡意木馬網(wǎng)絡(luò)通信圖

需要關(guān)注的是，該惡意木馬會(huì)遍歷受害用戶本機(jī)安裝的APP信息，以確定受害用戶是否安裝有特定的銀行類APP。如果有的話，該惡意木馬就會(huì)從C&C服務(wù)器下載對(duì)應(yīng)的偽裝銀行木馬，待對(duì)應(yīng)的偽裝銀行木馬下載完成后，就提示用戶升級(jí)。偽裝銀行木馬運(yùn)行后，會(huì)卸載掉受害用戶本機(jī)原始合法的銀行APP來(lái)偷梁換柱。不難推測(cè)，對(duì)用戶真正的釣魚活動(dòng)才剛剛開始。

另外，該惡意木馬除了收集受害用戶的手機(jī)硬件相關(guān)信息和手機(jī)狀態(tài)信息，還會(huì)竊取受害用戶的Google賬號(hào)憑證。與常見的利用遠(yuǎn)程服務(wù)釣魚頁(yè)面不同的是，該惡意木馬在受感染手機(jī)本地開啟了一個(gè)Httpserver服務(wù)，并利用該本地服務(wù)頁(yè)面完成對(duì)受害用戶的Google賬號(hào)憑證釣魚后，再將其通過WebSocket協(xié)議轉(zhuǎn)發(fā)到C&C服務(wù)器。該惡意木馬的主要行為見圖3：

圖3 惡意木馬的主要行為

3、原始包解密分析

如前所述，該惡意木馬真實(shí)的惡意dex文件被加密保存在原始包的assets目錄下，其內(nèi)容是Base64后的可見字符（見圖4），其原始包只是扮演了殼的角色，原始包在運(yùn)行時(shí)解密加載真實(shí)的惡意dex文件來(lái)實(shí)現(xiàn)惡意攻擊。我們將bin文件Base64解密或在該惡意木馬運(yùn)行后，從其安裝包路徑下的files文件下均可得到真實(shí)的惡意dex文件（見圖5）。

圖4 加密存放真實(shí)的惡意dex文件

圖5 真實(shí)的惡意dex文件運(yùn)行時(shí)解密到files目錄

4、真實(shí)攻擊邏輯分析

??????? 該惡意木馬申請(qǐng)的權(quán)限如圖6所示，其中涉及到的敏感權(quán)限包括短信的讀寫權(quán)限、通訊錄讀取權(quán)限、打電話權(quán)限、修改手機(jī)狀態(tài)權(quán)限等。

圖6 惡意木馬申請(qǐng)的權(quán)限

4.1 注冊(cè)大量廣播，主要用于竊取用戶手機(jī)狀態(tài)信息

該惡意木馬注冊(cè)了大量的廣播事件，主要用來(lái)竊取受害用戶手機(jī)狀態(tài)信息，以達(dá)到實(shí)時(shí)監(jiān)控受害用戶手機(jī)的目的（見圖7）。

圖7? 惡意木馬注冊(cè)大量廣播事件

其中，當(dāng)用戶手機(jī)有新的應(yīng)用安裝或卸載、手機(jī)電量變化、網(wǎng)絡(luò)連接改變、屏幕喚醒或休眠等事件發(fā)生時(shí)，惡意木馬就發(fā)送受害用戶手機(jī)狀態(tài)相關(guān)信息到C&C服務(wù)器。發(fā)送的手機(jī)狀態(tài)相關(guān)信息包括：運(yùn)營(yíng)商名字、網(wǎng)絡(luò)類型（wifi還是移動(dòng)網(wǎng)絡(luò)）、wifi的mac地址、電量百分比、wifi信號(hào)強(qiáng)度、是否管理員權(quán)限、自己是否在休眠白名單中、屏幕是否喚醒、手機(jī)情景模式（見圖8）。

圖8 向C&C服務(wù)器發(fā)送手機(jī)狀態(tài)相關(guān)信息

4.2 獲取C&C服務(wù)器地址

該惡意木馬利用動(dòng)態(tài)頁(yè)面來(lái)獲取和更新C&C服務(wù)器地址。攻擊者將加密后的C&C服務(wù)器地址配置在申請(qǐng)的百度賬戶個(gè)人簡(jiǎn)介中，惡意木馬在運(yùn)行時(shí)會(huì)通過Http請(qǐng)求獲取對(duì)應(yīng)的頁(yè)面數(shù)據(jù)再進(jìn)行解密。從圖9我們可以看到，獲取C&C服務(wù)器的Http請(qǐng)求串也經(jīng)過了加密處理，我們對(duì)其解密后的結(jié)果為：http://www.baidu.com/p/dajiahao188384/detail 和http://www.baidu.com/p/womenhao183527/detail。

圖9 Http請(qǐng)求的解密和拼湊

另外，通過抓包也可清楚看到該Http請(qǐng)求的內(nèi)容（見圖10）。

圖10? Http請(qǐng)求抓包結(jié)果

我們?cè)跒g覽器中訪問對(duì)應(yīng)的Http請(qǐng)求，可以看到訪問的是對(duì)應(yīng)百度賬戶的個(gè)人頁(yè)面，我們注意到攻擊者的賬戶目前還處于在線狀態(tài)，個(gè)人簡(jiǎn)介部分即為加密后的C&C服務(wù)器地址（見圖11），我們對(duì)其解密后為：111.240.228.234:8833。

圖11 攻擊者注冊(cè)的百度賬戶頁(yè)面

4.3 竊取用戶設(shè)備信息和狀態(tài)信息

惡意木馬連接C&C服務(wù)器成功后，會(huì)發(fā)送受害用戶手機(jī)相關(guān)信息，包括：android_id、系統(tǒng)版本、手機(jī)版本+顯示屏參數(shù)、是否root、關(guān)機(jī)狀態(tài)、sim卡是否處于就緒狀態(tài)、用戶手機(jī)號(hào)碼、IMEI、手機(jī)中賬戶信息（見圖12、圖13）。除了發(fā)送用戶手機(jī)相關(guān)信息，還會(huì)再次發(fā)送用戶手機(jī)的相關(guān)狀態(tài)信息（見圖14）。

圖12 連接C&C服務(wù)成功后，發(fā)送用戶手機(jī)信息

圖13 具體發(fā)送的手機(jī)信息

圖14 發(fā)送用戶手機(jī)當(dāng)前狀態(tài)信息

圖15是以上通信的日志信息。可以清楚地看到連接的C&C服務(wù)器地址，連接成功后，更新用戶手機(jī)狀態(tài)信息到C&C服務(wù)器。

圖15 更新用戶手機(jī)狀態(tài)信息的日志

4.4 通過C&C服務(wù)器下發(fā)命令和回傳任務(wù)

該惡意木馬使用加密的WebSocket協(xié)議來(lái)和C&C服務(wù)器通信，惡意木馬和C&C服務(wù)器各自實(shí)現(xiàn)了自己的RPC函數(shù)供對(duì)方調(diào)用（其中圖16是惡意木馬實(shí)現(xiàn)的RPC函數(shù)），通信雙方利用這些RPC函數(shù)來(lái)達(dá)到數(shù)據(jù)竊取和遠(yuǎn)程控制的目的。惡意木馬實(shí)現(xiàn)的RPC函數(shù)可發(fā)送短信（目標(biāo)地址和內(nèi)容由C&C服務(wù)器提供）、鎖定用戶手機(jī)、獲取手機(jī)通訊錄、發(fā)送釣魚信息給手機(jī)聯(lián)系人等（具體見表2）。

圖16 惡意木馬實(shí)現(xiàn)的RPC函數(shù)

表2 該惡意木馬實(shí)現(xiàn)的RPC函數(shù)

圖17是該惡意木馬和C&C服務(wù)器通信部分，惡意木馬解析C&C服務(wù)器發(fā)送過來(lái)的網(wǎng)絡(luò)數(shù)據(jù)，執(zhí)行對(duì)應(yīng)的RPC函數(shù)，再將函數(shù)執(zhí)行結(jié)果返回給C&C服務(wù)器。

圖17 C&C服務(wù)器和惡意木馬的通信

同時(shí)，該惡意木馬也會(huì)給C&C服務(wù)器發(fā)送請(qǐng)求指令，分別為：下載指定的apk文件、發(fā)送釣魚到的Google賬戶憑證、得到需要更新的包列表、得到標(biāo)題等顯示提示（見表3）。

表3 惡意木馬發(fā)送給C&C服務(wù)器的函數(shù)請(qǐng)求

4.5 竊取用戶Google賬戶信息

該惡意木馬除了收集受害用戶的手機(jī)硬件相關(guān)信息和手機(jī)狀態(tài)信息，還會(huì)竊取受害用戶的Google賬戶憑證。與常見的利用遠(yuǎn)程服務(wù)器釣魚頁(yè)面不同的是，該惡意木馬在受感染手機(jī)本地開啟了一個(gè)Httpserver服務(wù)，并利用該本地服務(wù)頁(yè)面完成對(duì)受害用戶的賬戶憑證釣魚后，再將其通過加密的WebSocket協(xié)議轉(zhuǎn)發(fā)到C&C服務(wù)器。在惡意木馬篩選出google賬戶后（見圖18），會(huì)彈出警告對(duì)話框，等受害用戶點(diǎn)擊確定后，惡意木馬就會(huì)打開瀏覽器，跳轉(zhuǎn)到自定義的本地釣魚頁(yè)面（見圖19）。

圖18 篩選Google賬戶

圖19 彈出警告窗口

該惡意木馬在本地創(chuàng)建HttpServer服務(wù)，本地HttpServer服務(wù)啟用線程來(lái)處理釣魚到的Google賬戶信息（見圖20）。

圖20 惡意木馬利用本地服務(wù)來(lái)處理釣魚到的Google賬戶信息

惡意木馬將釣魚到的Google賬戶憑證發(fā)送到C&C服務(wù)器（見圖21）。

圖21 惡意木馬將釣魚到的Google賬戶憑證信息發(fā)送到C&C服務(wù)器

4.6 下載偽裝銀行類APP

該惡意木馬會(huì)遍歷受害用戶本機(jī)安裝的APP信息，以確定受害用戶是否安裝有特定的銀行類APP。如果有的話，該惡意木馬就會(huì)從C&C服務(wù)器下載對(duì)應(yīng)的銀行類木馬，待對(duì)應(yīng)的木馬下載完成后，就提示用戶有新的升級(jí)。銀行類木馬運(yùn)行后，會(huì)卸載掉受害用戶本機(jī)原始合法的APP來(lái)偷梁換柱。顯而易見，對(duì)受害用戶真正的釣魚攻擊才剛剛開始。

遍歷用戶手機(jī)應(yīng)用，檢查是否有內(nèi)置指定的銀行類APP，有的話，從C&C服務(wù)器下載對(duì)應(yīng)的銀行木馬APP（見圖22）。

圖22 遍歷受害用戶手機(jī)應(yīng)用

如果用戶手機(jī)存在指定的銀行類APP，則從C&C服務(wù)器下載對(duì)應(yīng)的銀行木馬APP（見圖23）。

圖23 從C&C服務(wù)器下載指定的銀行木馬APP

表4 為惡意木馬內(nèi)置的要偽裝的銀行類APP包名

表4 惡意木馬要偽裝的銀行類APP包名

銀行類惡意木馬APP下載完成后，會(huì)彈出提示框，誘使用戶更新（見圖24）。

圖24 誘使用戶安裝下載到的銀行類木馬

銀行類惡意木馬運(yùn)行后，會(huì)卸載掉受害用戶原來(lái)合法的銀行類APP（見圖25）。

圖25 下載下來(lái)的木馬偷梁換柱

4.7 傳播

該惡意木馬通過向受害用戶的通訊錄聯(lián)系人發(fā)送釣魚信息來(lái)傳播（見圖26）。

圖26 該惡意木馬的傳播途徑

5、總結(jié)及建議

雖然該惡意木馬是針對(duì)韓國(guó)用戶，但也不排除后續(xù)針對(duì)其他國(guó)家實(shí)施攻擊的可能。用戶除了對(duì)熱門的APP下載和更新不能大意外， 對(duì)系統(tǒng)自帶的APP的更新也應(yīng)保持警惕。建議用戶不要輕易點(diǎn)擊短信中的不明鏈接，不要安裝不明來(lái)源的APP。對(duì)申請(qǐng)可疑權(quán)限尤其是短信讀寫、打電話以及需要激活設(shè)備管理器的APP要特別留意，涉及到金錢的操作要格外謹(jǐn)慎。遇到操作異常，應(yīng)當(dāng)及時(shí)使用殺毒軟件查殺或找專人處理。目前互聯(lián)網(wǎng)上也充斥著形形色色的第三方APP下載站點(diǎn)，很多甚至成了惡意應(yīng)用的批發(fā)集散地。用戶應(yīng)特別留意不要輕易地在一些下載站點(diǎn)下載APP，盡量從官網(wǎng)下載所需APP應(yīng)用，在不得不從第三方下載站點(diǎn)下載軟件時(shí)，要保持高度警惕，認(rèn)真甄別，防止誤下惡意應(yīng)用，給自己造成不必要的麻煩和損失。