事件概要
2020年7月3日推特上有移动安全人员披露一起拥有1w+下载量的Joker家族样本,其家族名源于其早期使用的C2域名,提取了其中的特征字符串Joker作为其家族名称,其主要的恶意行为是肆意给用户订阅各种收费SP服务、窃取用户隐私来进行收益,鉴于Joker是目前Google Play商店上最活跃的家族之一,所以我对其家族成员样本进行详细分析,披露其近期“激进”的发展态势。
威胁细节
Google Play传播
Google Play应用商店Pioneer SMS APP,2020-07-03依然提供下载安装(目前已下架),并且其存活于Google Play商店期间,已经拥有10K+的安装次数。
样本信息
信息类型 | 信息内容 |
---|---|
MD5 | 8f3e2ae23d979adfb714cd075cefaa43 |
包名 | com.pios.pioneer.messenger.sms |
证书指纹 | 1a1f8513e81dc69b5f31d3fb81db360d33a21fb7 |
来源 | Google Play |
病毒家族 | Joker(又称Bread) |
加固方式 | Dex加密 |
样本分析
Joker恶意家族采用动态加载的方式进行触发恶意行为,通过两次远程下载才将真正的恶意模块落地并执行起来。
第一次从https://rockmanpc.oss-us-east-1.aliyuncs.com/yellow/PioneerSMS.midi 地址下载一个包含Dex文件的压缩包,这还是一个Dropper文件。
这个Dropper文件的主要作用是从链接 https://rockmanpc.oss-us-east-1.aliyuncs.com/yellow/jiujiu.png 处下载一个包含classes.dex的压缩包,并且加载这个DEX文件并调用里面的方法com.antume.Cantin->buton,这个伪装成图片文件的压缩包才是真正的恶意模块。
这个恶意模块不断向 161.117.83.26/k3zo/B9MO 发送POST请求进行通信。
发送加密数据到C2并接受来自C2加密过的数据。
通讯数据采用了双重加密方式,一层自定义加解密再加上一层DES加解密,DES加解密用到的IV是(HEX值)3064333333343536,KEY用的是6662616533323734。
上传到C2的通信数据内容主要用来实现其筛选符合触发条件的手机,服务端C2根据获得的返回值,可以给不满足触发条件的手机下发一个返回不为0的error_code字段,用来控制这些手机不触发恶意行为。
向C2发送的数据字段简介:
字段 | 描述 |
---|---|
serial | 设备序列号或者App首次安装时间戳 |
iso | MCC+MNC代码 (SIM卡运营商国家代码和运营商网络代码)(IMSI) |
os_version | SDK版本 |
pkg | App包名 |
mt | 是否有监控收到短信的权限 |
mobile | 移动数据是否开启,或者启用移动数据是否成功 |
sms | 是否有发送短信的权限 |
反之,则对满足触发条件的手机下发返回其他字段的数据,从数据中提取键值为:device_id、app_id、p_u_u、r_d、s_r_c对应的值存放到名为Saurfang的SharedPreferences文件。接着从C2下发的数据解析出{pair: “<number>::<content>”}数据,向指定的<number>发送短信,内容为<content>。
提供给JavaScript(JS)调用API接口run方法,传入不同参数执行不同恶意功能:
JS API运行参数 | 描述 |
---|---|
addComment | 添加注释 |
sleep | 睡眠 |
getPin | 从最新发送来的短信中获取Pin确认码 |
setContent | 设置发送给p_u_u指定URL的数据 |
submit | 向C2发送数据 |
sendSms | 发送短信 |
post | 向指定URL发启POST请求 |
get | 向指定URL发启GET请求 |
callPhone | 拨打电话 |
上面是JS提供的接口,在这里通过从服务器返回的字段,解析出对应参数来执行对应的恶意功能。
该通信模块还会执行下载ELF文件并执行libtls_arm,来创建一个WebSocket链接和远程通信。
如果SIM不属于泰国AIS运营商的用户,就进行窃取短信内容并用HTTP请求发送到C2服务器上。
而一旦符合是泰国AIS运营商的用户,则会被其通过构造POST请求的方式强行订阅SP服务,造成被恶意扣费。
当用户存在访问网页的时候,Joker恶意家族还会窃取用户token、cookie等隐私数据。
另外,在对沃达丰SP、泰国DTAC通信公司相关SP服务进行请求时,会把其中的一些响应参数数据进行劫持替换修改成来自C2服务器的old、new的字段数据,实现劫持订阅病毒作者指定的SP服务。
劫持的方式通过替换下面页面的页面数据让用户发送短信到SP服务商,但是受益者就变成了病毒作者。
影响分析
Joker(又称Bread)家族最早于2016年12月被捕捉到,截至目前,该家族已扩展到13000+个样本。
除了之前在野样本,近期Joker家族似乎将影响目标增加锁定到了Google Play商店,这是6月份捕捉到的Joker家族样本,分别拥有100万+和50万+的下载量。
在我们进行编写报告期间,国外安全人员又发现GooglePlay上新的Joker恶意家族存活应用。这样的披露基本上每天都会有,从这些应用对应的下载量可窥见该家族的影响面较广。
我们截取2020年3月份至今在Google Play上被披露的一些Joker家族成员,数量庞大的家族成员以及惊人的下载量让Joker家族成为今年Google Play商店上最热门的家族之一。
安全建议
即使非常安全的Google Play商店,也有可能被病毒木马开发者当作其中的一个目标,以实现其木马的扩散传播,所以为了广大用户的安全考虑建议:
- 不要使用小众APP。
- 下载应用认准各大应用商店或者去大厂APP官网进行下载。
- 关注安全厂商安全新闻,一旦发现被披露的木马APP出现在自己手机上,及时联系专业安全人员进行处理。
IOCs
指标 | 值 |
---|---|
MD5 | dfb9f3d5ff895956cadd298b58d897b9 |
MD5 | 17dc81907be0bb4058cb57a8ae070df6 |
MD5 | 6b4441182513b8c8030ccb85132be543 |
MD5 | 60ef636f2e7df271b32077a70bd0a50c |
MD5 | e416811c9e7f0d97bfad9c9da7b753c8 |
MD5 | 9385d64ea6d616f7f51dc651631316b7 |
MD5 | 228a233d21daf56fa24e580f61f5acc5 |
MD5 | cd9cd230a9710787a001df2398140c63 |
MD5 | 390bae9a353d7e9fef1a19bdd282b0f5 |
MD5 | 48a00e75e2003dd3af351059baf07f9a |
MD5 | 8c5a550c28c768e2db20e92b245f9df2 |
MD5 | e93ff35bc87014b5a39d8712fab9d423 |
MD5 | 0549b2d3159e82c669fcebc5d94c3a94 |
MD5 | 1ef48e47c0dd29e70c8047a97e515d9f |
MD5 | 3bcc0fd4d1e98e2dd7323bd761cffbc9 |
MD5 | 7ff0f7825ed97be3fd440598edb46bfb |
MD5 | 55eac99604d99fd48f238c14436f49a0 |
MD5 | de104d5652dc2d6cb2415a7623fad4ec |
MD5 | de25ee9e5cc3c8c165931c9775bb23c6 |
MD5 | 0bda28e1e2ff21a932a3df8cf3b08661 |
MD5 | 7ed8d7b76c50cd1df3c1750c7ad95335 |
MD5 | 4a029c2ad0aca5e9f1c370f781d75656 |
MD5 | a5cd660d6c3fad87a45c56e980e2bec0 |
MD5 | a5d7442d2871eb9be7f55801fa6a8491 |
MD5 | d6ad1f60684e9e44b870566cb6c62e11 |
MD5 | 30cba5586a09b02a148a4402d36cd9a2 |
MD5 | 962cfc0b9b9080085b2efdd672eeaa67 |
MD5 | 425b67ac92720c104889d2a08c02f797 |
MD5 | 7ffcd0ef95103b9c717fb59ec12039a7 |
MD5 | 97e9a69fbb0efb183560f90f66ad7852 |
MD5 | 57f8a1eb7099309d5c3a2342d25500a0 |
MD5 | 8cae996d06e1608035ffd569bec1bdb2 |
IP | 161.117.62.127 |
IP | 161.117.83.26 |
IP | 47.74.179.177 |
参考
[1] https://security.googleblog.com/2020/01/pha-family-highlights-bread-and-friends.html+
[2] https://twitter.com/bl4ckh0l3z/status/1278752357883543552
[3] https://securelist.com/wap-billing-trojan-clickers-on-rise/81576/
[4] https://www.mcafee.com/blogs/other-blogs/mcafee-labs/asiahitgroup-gang-again-sneaks-billing-fraud-apps-onto-google-play/
[5] https://www.freebuf.com/articles/terminal/133118.html
[6] https://zh.wikipedia.org/wiki/%E6%9C%8D%E5%8A%A1%E6%8F%90%E4%BE%9B%E8%80%85
[7] https://medium.com/csis-techblog/analysis-of-joker-a-spy-premium-subscription-bot-on-googleplay-9ad24f044451