摘要:目前為止,發(fā)現(xiàn)的幾十個新的木馬的變異程序��,無一例外都是利用漏洞在受感染的設(shè)備上獲得權(quán)限�����。自去年月以來�,惡意木馬大約次繞過的自動化惡意程序檢查程序進入官方應(yīng)用市場。為了隱藏這類活動�����,木馬會關(guān)閉設(shè)備聲音并刪除所有收到的短信��。
本月第二次��,Google 從官方應(yīng)用商店 Google Play 中移除了偽裝成合法程序的惡意應(yīng)用�。被移除的應(yīng)用都屬于名叫 Ztorg 的 Android 惡意程序家族。目前為止����,發(fā)現(xiàn)的幾十個新的Ztorg木馬的變異程序,無一例外都是利用漏洞在受感染的設(shè)備上獲得root權(quán)限���。
但是卡巴斯基實驗室的安全研究人員發(fā)現(xiàn)�,在2017年5月下旬以來��,在最新捕獲的Ztorg木馬(Magic Browser���、Noise Detector)的變異程序中��,卻發(fā)現(xiàn)它們并沒有使用設(shè)備的root權(quán)限�。黑客利用了惡意木馬���,在感染的設(shè)備中發(fā)送付費短信(Premium Rate SMS)并立即刪除����,用戶資金在不知不覺中被竊取�����。
什么是Premium Rate SMS?
Premium Rate SMS是一種付費短信模式����,通過發(fā)送特殊的文本信息,用戶自動扣費���。例如通過手機短信捐款���,辦理付費業(yè)務(wù)等。最新ztorg木馬利用該模式來牟利���,這項技術(shù)讓黑客的利益最大化��,并降低了被發(fā)現(xiàn)的風(fēng)險����。
Ztorg為何這么難被檢測到�?
多模擬器檢測功能,它可以檢測到Android SDK模擬器�����,如genymotion��,BlueStacks����, buildroid。它還檢測設(shè)備感染環(huán)境����,這些檢測很難被繞過。 使用基于XOR的字符串混淆�����。 采用DES-CBC加密遠程服務(wù)器進行通信���。 從遠程服務(wù)器下載���、安裝和啟動Android應(yīng)用程序。 自去年 9 月以來�,Ztorg 惡意木馬大約 100 次繞過 Google 的自動化惡意程序檢查程序進入官方應(yīng)用市場。被稱為 Magic Browser 的 Ztorg 惡意應(yīng)用下架前被下載量超過 5 萬次�����。
另一款叫 Noise Detector 的應(yīng)用被下載了超過 1 萬次,上個月被移除的 Privacy Lock 下載量超過百萬�。
Ztorg攻擊過程分析
惡意程序啟動后,木馬將休眠10分鐘����,然后連接到命令和控制(C&C)服務(wù)器。這樣如果用戶發(fā)現(xiàn)了一些奇怪的東西�,他們就不太可能把它與剛剛安裝的應(yīng)用程序聯(lián)系起來。
Ztorg木馬從C&C獲取命令使用了一個有趣的技術(shù)���,它向C&C提供兩個GET請求����,其中包括國際移動用戶識別碼(IMSI)��。第一個請求如下所示:
GET c.phaishey.com/ft/x250_c.txt(其中250 - IMSI的前三位數(shù)字)
如果木馬收到一些響應(yīng)數(shù)據(jù)���,將會發(fā)出第二個請求�。第二個請求如下所示:
GET c.phaishey.com/ft/x25001_0.txt(其中25001 - IMSI的前五位數(shù)字)
為什么需要國際移動用戶識別碼(IMSI)���?
IMSI的有趣之處在于前三位數(shù)字是MCC(移動用戶所屬國家代號)���,第三位和第四位是MNC(移動網(wǎng)號碼)�。使用這些識別碼�����,攻擊者可以識別受感染用戶的國家和移動運營商�,準確的選擇應(yīng)該發(fā)送哪類付費短信�。
在對這些請求進行響應(yīng)時,木馬可能會收到一些加密的JSON文件���,其中包含一些數(shù)據(jù)�。此數(shù)據(jù)應(yīng)包括offer列表���,每個offer均包含一個名為“url”的字符串字段����,可能包含也可能不包含實際的網(wǎng)址�。木馬將嘗試使用自己的類打開或查看該字段。如果這個值確實是一個真實的url��,那么木馬會向用戶顯示其內(nèi)容����。但是如果它是假的url,就會帶有一個短信字樣的子串,要求用戶回復(fù)一個短信���,其中就包含提供的號碼�,如下圖���,
令人意想不到的是����,當(dāng)服務(wù)器收到網(wǎng)址訪問或短信后����,木馬將關(guān)閉設(shè)備聲音,并開始刪除用戶收到的所有短信���。
雖然我們無法獲得在Google Play傳播的木馬的任何命令�����,但是通過對其他具有相同功能的木馬程序的分析����,我們得到了以下命令:
{“icon”:”http://down.rbksbtmk.com/pic/...”,”id”:”-1″,”name”:”Brower”,”result”:1,”status”:1,”url”:”http://global.621.co/trace?of...″}
這是一個常規(guī)的廣告offer�。
WAP付費訂閱
我們在Google Play商店及其他正規(guī)的應(yīng)用商店發(fā)現(xiàn)相同功能的許多惡意app�。有趣的是�����,它們看起來不像獨立木馬程序�����,更像是一些木馬程序的附加模塊��。進一步研究發(fā)現(xiàn)�����,這些木馬是由一個常規(guī)的Ztorg木馬和其他Ztorg模塊一起組合而成��。
在其中一些木馬中����,我們發(fā)現(xiàn)它們使用MCC從惡意網(wǎng)址下載了一個JS文件�。
于是,為了分析���,我們下載了幾個JS文件�����,它們使用了不同的MCC�����,可以推斷這些攻擊者是來自不同國家的用戶���。由于無法獲取美國MCC的文件���,所以只能嘗試從其他國家獲取的MCC文件中找到一些功能相似的文件。我們發(fā)現(xiàn)����,所有的文件都包含一個名為“getAocPage”的函數(shù),它最有可能是AoC(收費通知)�。在分析這些文件后,我發(fā)現(xiàn)他們的主要目的是通過WAP計費對網(wǎng)頁進行點擊攻擊�����。在進行攻擊時�,木馬可以從用戶的移動帳戶竊取資金。 WAP帳單的攻擊方式與付費短信類似�����,區(qū)別就是它采用了訂閱付款的形式,而不是一次性詐騙�,下圖就是,來自俄羅斯用戶的CnC的JS文件(MCC = 250)
這意味著該木馬從CnC收到的網(wǎng)址不僅可以是廣告網(wǎng)址�,還可以是帶有WAP付費訂閱的網(wǎng)址。此外�,一些使用包含“/ subscribe / api /”CnC URL功能的木馬程序,也可能參考付費訂閱的功能�。
所有這類木馬����,包括來自Google Play的木馬,都在嘗試從任意設(shè)備向用戶發(fā)送短信����。為此,黑客使用大量方法來發(fā)送短信����,以下就是 “Magic browser”應(yīng)用程序的部分代碼。
總而言之���,從上述代碼我們可以發(fā)現(xiàn)�,黑客為了能夠從不同的Android設(shè)備和版本來發(fā)送短信,試圖從11個不同的地方向受害者發(fā)送短信�����。此外���,我們還找到另一個變異過的SMS.AndroidOS.Ztorg木馬的惡意程序�����,試圖通過“am”命令發(fā)送短信��,雖然這種方法并沒有行得通���。
短信木馬與Ztorg惡意軟件家族的關(guān)系
“Magic browser”惡意應(yīng)用程序的升級方式與Ztorg木馬程序類似?!癕agic browser”和“Noise Detector”應(yīng)用程序與其他Ztorg木馬共享了許多相似之處的代碼。此外最新版本的“Noise Detector”在assets folder的安裝包中包含加密文件“girl.png”�����,解密后�,此文件就會變?yōu)閆torg木馬。
我們發(fā)現(xiàn)了幾個常規(guī)Ztorg木馬和其他Ztorg模塊一起安裝����,具有相同功能的木馬程序����。而不是像“Magic browser”將附加的Ztorg模塊作為獨立木馬在Google Play傳播�����。2017年4月��,我們發(fā)現(xiàn)一個名為“Money Converter”的惡意木馬已經(jīng)在Google Play上安裝了上萬多次��。它使用Accessibility Service安裝Google Play的應(yīng)用程序��。因此��,即使在無法獲得root權(quán)限的設(shè)備上����,木馬程序也可以靜默安裝��、運行并升級惡意應(yīng)用程序�����,無需與用戶進行任何交互。
root權(quán)限攻擊演變到短信木馬攻擊
雖然“Magic browser”和“Noise Detector”惡意應(yīng)用程序使用了相同的功能�����,但是我們認為它們各有不同的用途���。前者上傳時間較早����,我們認為黑客只是在檢測能否上傳此類惡意應(yīng)用程序��,上傳成功后��,它們并沒有更新版本���。但是后者不同�,它看起來像黑客試圖上傳受常規(guī)Ztorg木馬感染的應(yīng)用程序���。但是在上傳過程中��,他們決定增加一些惡意功能來賺錢����。“Noise Detector”的更新歷史證明了這一點����。
5月20日,黑客上傳了一個名為“Noise Detector”的清理app�����。幾天后���,他們更新一個未感染的版本�。然后�,他們上傳了一個包含加密ztorg木馬的版本,但是無法解密和執(zhí)行����。緊接著第二天�����,他們終于更新了短信木馬的功能����,但仍沒有增加解密和執(zhí)行的Ztorg模塊����。很可能���,如果該應(yīng)用尚未從Google Play中刪除�,則他們將在下一階段添加此功能��,還有一種可能是����,即嘗試添加此功能時被Google發(fā)現(xiàn)了木馬的存在,并導(dǎo)致其被刪除�。
總結(jié)
我們發(fā)現(xiàn)了一個非同尋常的短信木馬通過Google Play傳播。它不僅使用十幾種方法來發(fā)送短信��,而且還以特殊的方式初始化這些方法:使用來自CNC命令來處理網(wǎng)頁的加載錯誤�����。并且它可以打開廣告網(wǎng)址����,此外它與具有相同功能的Ztorg惡意軟件相關(guān)��,通常由Ztorg作為附加模塊安裝���。
通過分析這些應(yīng)用,我們發(fā)現(xiàn)黑客通過點擊攻擊來劫持WAP付費業(yè)務(wù)��。這意味著該木馬不僅可以打開廣告鏈接����,發(fā)送付費短信,還可以通過WAP付費業(yè)務(wù)打開網(wǎng)頁并從賬戶中盜取資金���。為了隱藏這類活動���,木馬會關(guān)閉設(shè)備聲音并刪除所有收到的短信。
這不是Ztorg木馬第一次在Google Play上傳播�����,例如在4月份他們就上傳了一個模塊�,可以點擊Google Play商店應(yīng)用按鈕安裝甚至購買這些推廣應(yīng)用。
MD5
F1EC3B4AD740B422EC33246C51E4782F
E448EF7470D1155B19D3CAC2E013CA0F
55366B684CE62AB7954C74269868CD91
A44A9811DB4F7D39CAC0765A5E1621AC
1142C1D53E4FBCEFC5CCD7A6F5DC7177
文章來源于securelist��、securityaffairs����,阿里聚安全編譯
更多安全類熱點資訊及知識分享,請持續(xù)關(guān)注阿里聚安全博客
網(wǎng)址:https://jaq.alibaba.com/commu...
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/44448.html
