Welcome Chat间谍软件分析报告

360安全客 安全知识 123622 4

 

概述:welcome表面上是一款面向阿拉伯地区的聊天软件,实则是一款具有强大聊天功能的间谍软件。该应用程序具有获取并上传用户通讯录、通话记录、短信、文件、位置等隐私信息的功能,并通过监听用户电话状态对用户通话记录进行录音、监听用户短信数据库,过滤并上传用户收发的短信息。

welcom间谍软件主要通过网站进行传播,目前并没有发现其上架于应用商店。应用程序分发网站地址:http://ephon****vicesc.lub/。

图1-1官网首页

页面上显示GooglePlay按钮,但GooglePlay并未上架,只是个下载按钮。

图1-2下载按钮

 

1. 样本运行流程

应用首次运行请求窃取用户隐私数据所需的敏感权限,若用户拒绝授予权限,则应用会退出。接着应用每隔5分钟连接一次服务器,从服务器获取远控指令执行窃取用户设备隐私数据的操作。

图2-1 运行流程图

 

2.技术原理

(1)welcome启动时必须授予清单中声明的全部权限,权限不足则退出应用,这些权限对于一个聊天App来说可能不会引起用户怀疑。但需提醒用户当一个应用请求大量敏感权限时,应提高警惕行。

图3-1 启动页面

作为一款“社交软件”,程序启动之后申请短信、通讯录、录音等大量敏感权限,如果用户拒绝,则程序自动退出,如图3-2、3-3所示。

图3-2 权限申请弹窗

图3-4 权限不足退出应用

图3-5 隐私相关权限清单

(2)获得授权后上传设备信息并开启服务。

图3-6 上传设备信息

图3-7 启动各项服务

2.1 隐私窃取

(1)获取用户联系人、短信、通话记录等信息并每隔1分钟上传到服务器。

图3-8获取隐私信息

(2)获取用户设备通讯录信息:

图3-9 读取通讯录

(3)获取用户设备短信息:

图3-10 读取短信

(4)获取用户设备通话记录:

图3-11 读取通话记录

(5)通过GPS手段获取用户位置信息:

图3-12 获取位置

(6)监听用户设备来电状态、开始及结束状态并启动录音。

图3-13 监听电话状态

图3-14 记录号码并操作录音

图3-15 获取号码所属联系人名称

(7)获取并上传用户设备文件信息:

图3-16上传信息文件

2.2 远程控制

(1)恶意程序每5分钟请求一次主控地址与服务器交互。

图3-17 开启定时任务

(2)接收并处理服务器发送的命令。

图3-18 接收远程命令

远程控制命令列表:

命令 作用
S1 总开关
S2 暂无
S3 暂无
S4 短信雷达
S5 获取并上传文件
S6 录音
S7 通话监听开关
S8 暂无

(1)S6:指定开始时间和时长启动录音。

图3-19 开启录音

(2)S4:注册监听短信数据库变化,当用户收发短信时触发监听器:

图3-20 监听短信并保存

图3-21 注册短信内容观察者

图3-22 处理短信变化

(3)S5:从C&C处请求要窃取的文件类型,获取此类型的文件并上传。

图3-23 获取的文件类型

(4)获取/mnt目录下的全部文件信息及外部存储器/Camera目录下的全部照片信息保存在数据库中。

图3-24 遍历指定目录

图3-25 遍历文件并存储文件信息

(5)将窃取的信息保存在应用文件目录下的本地数据库中。

图3-26 数据库中存储的文件信息

2.3 信息上传

(1)开启上传用户信息的定时任务。线程启动时延迟5分钟,此后每6分钟执行一次。

图3-28 开启上传定时任务

(2)检测若未在监听状态,上传获取的全部信息文件。

图3-29 上传文件

2.4 C&C交互

(1)为了防止C&C址的泄露,C&C地址以AES加密保存:

图3-30 加密算法

(2)解密后的服务器地址:

图3-31 解密的地址

图3-32 发生的上传请求

上传地址及作用汇总表:

接口 作用
http://api.emob****rvices.club/v1/services 控制录音启动后终止录音指令
http://api.emob****vices.club/v1/types 获取需上传的文件类型
http://api.emob****rvices.club/v1/record 获取录音启动时间和时长
http://api.emob****rvices.club/v1/data 获取远程指令
http://api.emob****rvices.club/v1/file 上传文件

 

4.样本信息

Hash:

C60D7134B05B34AF08023155EAB3B38CEDE4BCCD

C755D37D6692C650692F4C637AE83EF6BB9577FC

89AB73D4AAF41CBCDBD0C8C7D6D85D21D93ED199

2905F2F60D57FBF13D25828EF635CA1CCE81E757

参考:

https://www-welivesecurity-com/2020/07/14/welcome-chat-secure-messaging-app-nothing-further-truth/

(完)