反间谍软件之旅(四)

 

导读:最近”暗影实验室”在日常检测中发现了一款伪装插件FlashPlayer的间谍软件,该款软件不仅通过检测模拟器以防止沙箱对其进行分析,还通过检测安装在移动设备上的杀毒软件,并通过调用可访问性API拦截用户和移动设备之间的所有交互以防止自身被杀除。运行后该应用通过隐藏图标,激活设备管理器来防止自身被卸载。通过远程下发控制指令在后台执行一系列获取用户联系人、短信、文件、照片等信息的操作。并通过给用户联系人发送短信的方式传播恶意软件。应用在传播之前对传播对象的手机号码进行了匹配,由此可看出这是一场有特定群体攻击活动。

 

1.样本信息

MD5:09B60AA78291E7EF8B0DDFC261AFB9F9

程序名称:FlashPlayer

程序包名:com.zvozlqawx.vbnwjvqkqza

安装图标:

 

2.运行流程

主程序通过动态函数调用加载恶意代码。为了避免检测和分析,程序运行首先会检测自身运行环境,检测通过后,恶意代码被激活。主控端通过远程下发指令,执行收集并上传用户联系人,短信,文件、照片等信息,拦截用户短信并删除短信数据库数据、通过短信向用户联系人传播恶意软件等操作。

图2-1 程序运行流程图

 

3.技术原理

(1)自我防护

该恶意软件为了避免检测和分析,进行几处防护。

主恶意软件类被打包,主类别的处理程序并不存在原文件中。以至于清单中定义的类只有一个主类别的处理程序。如下图所示程序启动类并不存在原文件中,这也将导致应用程序因为找不到类而无法动态调式。从而增加静态分析难度。

图3-1 恶意软件主类被打包

程序将主要的恶意代码打包,并通过动态函数调用来动态加载恶意代码。

图3-2 动态调用

程序启动后,恶意软件的有效负载首先会检查模拟器,以防止沙箱对其进行分析。它会检查不同种类的模拟器,包括QEMU、Genymotion、BlueStacks和Bignox。

图3-3 检测模拟器环境

如果恶意软件确定它不在模拟器上运行,它会执行额外的检查以确保自身不会被检测到。

图3-4 检测设备信息

监测用户的操作行为如界面点击事件,文本框聚焦事件。对于每次交互,恶意软件将检查生成器是否是属于反病毒列表的包。如果是该应用将会使用动作GLOBAL_ACTION_BACK调用全局函数performGlobalAction,它等于按下设备上的后退按钮,从而取消反病毒应用程序的打开。

图3-5 反病毒软件包名

图3-6 监测用户操作行为

(2)环境检测

该应用在执行恶意行为之前会检测是否开启设备管理器、safetyNet服务(google提供的检测设备运行环境的一个服务)是否被激活,该应用是否是默认短信应用程序并获取用户基本信息上传到服务器,这有助于控制端定义在移动设备检测到它之前,可以执行哪些操作。

图3-7 环境检测

获取用户设备详细信息。

图3-8 获取设备信息

获取地理位置信息。

图3-9 获取位置信息

获取用户账户信息。

图3-10 获取账户信息

将检测结果以及获取的用户信息上传至服务器:http://***/api/v2/get.php

图3-11 上传用户信息

(3)远程控制

检测完成之后,恶意软件就会被激活。通过远程下发命令执行恶意操作。远程服务器:http://***/api/v2/set_state.php。

图3-12 获取远控指令

通过远程控制,恶意软件会上传用户图片、文件、短信、联系人、管理员电话等信息,且它还通过联系人列表传播恶意软件。以下是部分指令所对应的操作。

图3-13 指令列表

图3-14 遍历指令

命令”sendSmsAb”,获取用户联系人列表信息,并给联系人发送短信。在发送短信之前,对发送号码进行匹配。由此可看出该恶意软件是有特定攻击群体或国家。

图3-15 获取联系人信息

图3-16 传播恶意软件

命令”uploadAllSms”,上传用户所有短信。

图3-17 上传短信信息

命令”uploadPhoneNumbers”,上传用户所有联系人信息。

图3-18 上传联系人信息

(4)其它恶意行为

应用通过注册广播与服务。还执行了开启移动wife网络、激活设备管理器,注册本本身为系统默认短信应用程序等操作。

开启设备wife。

图3-19 开启设备wife

开启移动网络。

图3-20 开启移动网络

激活设备管理器,防止应用被卸载。

图3-21 激活设备管理器

注册本身为短信默认短信应用程序,这样就能对短信数据库进行操作。

图3-22 注册默认短信应用程序

拦截用户短信并获取短信信息。

图3-23 拦截用户短信

操作短信数据库,从短信箱中删除接收的短信,避免用户发现。

图3-24 删除短信

 

4.同源分析

通过同源分析我们发现了一批与该样本具有相同文件结构和恶意行为的恶意软件。他们都是通过伪装正常软件的形式来骗取用户安装使用。

安装名称

 

包名

 

MD5

 

图标

 

Flash Player

 

us.bankantiangryshell.mbanking

 

C28197B10ED197803A5D1964DB2F4A6B

 

 

Facebook Photos

 

com.ecxphdwetzui.gwcrlrbzfm

 

CEE537D134B2E9824535A0BE38847260

 

 

Flash Player

 

au.shell.anti

 

5AD75750B695CB37B87A8B97BBC95CD5

 

 

 

5.安全建议

  • 让你的设备保持最新,最好将它们设置为自动补丁和更新,这样即使你不是最熟悉安全的用户,你也能得到保护。
  • 坚持去正规应用商店下载软件,避免从论坛等下载软件,可以有效的减少该类病毒的侵害。
  • 关注”暗影实验室”公众号,获取最新实时移动安全状态,避免给您造成损失和危害。
  • 安装好杀毒软件,能有效的识别已知的病毒。
  • 更多精彩文章请关注我们的微信公众号 ↓
反间谍之旅001
(完)