移动端C#病毒“东山再起”,利用知名应用通信实现远控隐私窃取
近日,安天移動(dòng)安全聯(lián)合獵豹移動(dòng)安全實(shí)驗(yàn)室又捕獲一例類(lèi)似的病毒,該病毒使用MonoDroid框架進(jìn)行開(kāi)發(fā)(MoniDroid是以C#語(yǔ)言和部分.Net基類(lèi)庫(kù)為核心,使用mono虛擬機(jī)為Android平臺(tái)開(kāi)發(fā)應(yīng)用的代碼框架),MonoDroid框架開(kāi)發(fā)的特點(diǎn)是開(kāi)發(fā)者編寫(xiě)的邏輯代碼都會(huì)最終編譯在dll文件中,而不是常規(guī)的dex文件中,因而常規(guī)的反病毒檢測(cè)手段對(duì)這類(lèi)應(yīng)用一般都會(huì)失效。此外,該病毒使用了知名應(yīng)用Telegram的Bot進(jìn)行通信,相較于傳統(tǒng)的C&C域名通信具有極強(qiáng)的隱蔽性。安天移動(dòng)安全團(tuán)隊(duì)聯(lián)合獵豹移動(dòng)安全實(shí)驗(yàn)室對(duì)其進(jìn)行了深入分析并發(fā)布技術(shù)報(bào)告,全文如下。
一、樣本信息
二、靜態(tài)分析
首先從AM文件中,可以看到該病毒申請(qǐng)了一系列與竊密行為相關(guān)的權(quán)限:
此外,在AM文件中還看到其注冊(cè)了各種receiver用來(lái)監(jiān)聽(tīng)系統(tǒng)消息。
深入查看一個(gè)用來(lái)接收當(dāng)有電話(huà)打入時(shí)的receiver,在該類(lèi)中我們并未發(fā)現(xiàn)一些實(shí)際功能代碼。在onReceiver函數(shù)中,其直接將Context和Intent轉(zhuǎn)交給了一個(gè)native方法n_onReceive,然而尷尬的是在這個(gè)類(lèi)中,我們并沒(méi)有看到有l(wèi)oadLibrary的so文件,而這其實(shí)利用的是Mono框架實(shí)現(xiàn)的。
在dex文件中其他的幾個(gè)類(lèi)也都存在類(lèi)似的情況:
MainActivity也是如此:
從以上靜態(tài)分析中,可以了解到該病毒dex文件中基本沒(méi)有實(shí)質(zhì)性的代碼,這里的原因主要來(lái)源于MonoDroid框架允許開(kāi)發(fā)者在.Net平臺(tái)使用C#進(jìn)行開(kāi)發(fā),而這意味著我們基本不可能在dex文件中有所得。
三、惡意行為分析
該病毒的核心惡意模塊為google.tools.dll文件,通過(guò)對(duì)該文件進(jìn)行反編譯后獲得該病毒的核心惡意行為。該病毒的整體攻擊流程如下圖所示:
Step1:自我隱藏并初始化Telegram Bot
當(dāng)用戶(hù)安裝應(yīng)用后,該病毒首先通過(guò)MainActivity的onResume()方法,彈出虛假提示框告知用戶(hù)該程序無(wú)法運(yùn)行并自動(dòng)卸載,卸載完成后自動(dòng)隱藏圖標(biāo),為后續(xù)的惡意行為不被發(fā)現(xiàn)做好鋪墊。而這也是當(dāng)前常見(jiàn)的惡意代碼自我隱藏的主要方式。 隱藏完畢后,該病毒啟動(dòng)下述服務(wù),首先進(jìn)行了語(yǔ)言識(shí)別,針對(duì)非英文語(yǔ)言環(huán)境會(huì)默認(rèn)顯示波斯語(yǔ)。
mainservice中包含部分組件設(shè)置、綁定以及Telegram Bot API(后文簡(jiǎn)稱(chēng)TBA)模塊的初始化相關(guān)的行為:
值得一提的是,該病毒設(shè)置了定時(shí)器對(duì)相關(guān)核心惡意服務(wù)是否存活進(jìn)行監(jiān)控,如果掛掉了,就重啟之。
此外,該病毒還另外注冊(cè)了兩個(gè)Telegram的消息回調(diào)函數(shù)。在這里再次暴露了其通過(guò)利用知名應(yīng)用Telegram提供的框架實(shí)現(xiàn)某些重要功能的意圖:
Step2:遠(yuǎn)程控制設(shè)備
在此之前我們也曾發(fā)現(xiàn)過(guò)一些使用TBA進(jìn)行通信的樣本,本次發(fā)掘的樣本基本采用純TBA進(jìn)行通信,該病毒的遠(yuǎn)控的行為設(shè)計(jì)的十分完備,關(guān)鍵操作(文件增刪、關(guān)鍵服務(wù)的啟閉、關(guān)機(jī)重啟被控端、卸載自身等)都需要主控端二次確認(rèn)操作,分發(fā)起操作和確定操作兩步。在文件管理功能方面基本上做到了PC端的遠(yuǎn)控的水平,集合了文件預(yù)覽、上傳、下載、移動(dòng)、重命名等諸多功能。對(duì)于被控端的短信,來(lái)電等內(nèi)容,在主控端可以做到“消息實(shí)時(shí)推送“級(jí)別的接收響應(yīng),另外這些功能都可以通過(guò)主控端隨時(shí)進(jìn)行開(kāi)閉操作。同時(shí)主控端可以控制被控端設(shè)備的關(guān)機(jī)、重啟(該功能需要被控端是已經(jīng)被root的設(shè)備,該病毒自身不擁有提權(quán)功能),主控端可以隨時(shí)發(fā)起被控端卸載該病毒、實(shí)時(shí)開(kāi)啟攝像頭拍照、實(shí)時(shí)屏幕截圖(需root)、獲取實(shí)時(shí)地理位置信息。
總的來(lái)說(shuō)這款病毒在軟控功能上設(shè)計(jì)的十分完善,主控端和被控端的可以進(jìn)行靈活的交互,這點(diǎn)大大區(qū)別于其他普通的Android病毒,這在一定程度上得益于TBA提供的各種完善的網(wǎng)絡(luò)傳輸方法。
android.os.CTRLCB類(lèi)的CTRLMESS()方法中包含了所有控制指令,整理如下。基本上所有上述指令中具體相關(guān)功能都在android.os.DoWork中有所實(shí)現(xiàn)。
Step3:Root模塊檢測(cè)
由于遠(yuǎn)控行為中包括的遠(yuǎn)程開(kāi)機(jī)、重啟、屏幕截圖等功能的實(shí)現(xiàn)需要設(shè)備的Root權(quán)限,因此在相關(guān)功能執(zhí)行前,該病毒會(huì)先進(jìn)行Root模塊的檢測(cè),確認(rèn)設(shè)備是否已經(jīng)Root。如果已Root,則通過(guò)申請(qǐng)Root權(quán)限進(jìn)行相關(guān)惡意行為的實(shí)施:
Step4:設(shè)置定時(shí)操作
該病毒還特別創(chuàng)建了定時(shí)操作線(xiàn)程,按照規(guī)定的時(shí)間間隔進(jìn)行惡意行為的執(zhí)行,定時(shí)操作分別為:每小時(shí)執(zhí)行對(duì)所竊取的隱私信息存放的緩存空間的釋放工作;每五秒執(zhí)行一次,檢查采集地理位置的Service是否還在工作:
而上述定時(shí)執(zhí)行的線(xiàn)程還負(fù)責(zé)對(duì)獲取到的隱私信息的定時(shí)上傳:
Step5:監(jiān)控亮屏行為激活守護(hù)主惡意服務(wù)
亮屏動(dòng)作的捕獲主要是為了實(shí)現(xiàn)對(duì)主惡意服務(wù)mainservice的存活守護(hù),結(jié)合上述的定時(shí)執(zhí)行線(xiàn)程以及定時(shí)服務(wù)探活和激活的邏輯,都足以看出該病毒開(kāi)發(fā)者對(duì)保護(hù)自我服務(wù)的“用心”:
Step6:其他隱私信息竊取
(1)竊取手機(jī)圖片
通過(guò)onStartComand方法,啟動(dòng)一個(gè)服務(wù)去定時(shí)獲取手機(jī)存儲(chǔ)中的所有圖片類(lèi)型的文件:
該病毒專(zhuān)門(mén)對(duì)此服務(wù)設(shè)置了定時(shí)器去進(jìn)行“服務(wù)守護(hù)”,如果服務(wù)掛掉,重啟之。
**(2)監(jiān)聽(tīng)短信模塊 **
從+98編碼可以看出,該病毒的活動(dòng)范圍為某中東地區(qū)。此外,該病毒還會(huì)監(jiān)聽(tīng)短信發(fā)送行為:
**(3)竊取通話(huà)錄音記錄 **
**(4)利用相機(jī)拍照 **
**(5)獲取通訊錄 **
**(6)竊取來(lái)電記錄 **
監(jiān)視網(wǎng)絡(luò)變化,上傳通話(huà)記錄,守護(hù)惡意服務(wù):
**(7)獲取地理位置 **
四、事件分析
從我們捕獲到的樣本上來(lái)看,該病毒基本上都是偽造的工具類(lèi)應(yīng)用,包名google.tools、System.OS也非常普遍,我們很難從這些地方發(fā)掘出可能的攻擊對(duì)象和目標(biāo)群體屬性。 但是根據(jù)在應(yīng)用中出現(xiàn)的波斯語(yǔ)設(shè)置以及在短信監(jiān)聽(tīng)中出現(xiàn)的+98國(guó)際區(qū)號(hào)的線(xiàn)索,我們推測(cè)出,該病毒的活躍地區(qū)應(yīng)該是某中東國(guó)家。此外,在分析的過(guò)程中我們發(fā)現(xiàn)了一個(gè)疑似主控端Telegram的賬號(hào)主頁(yè):https://telegram.me/Qhack。該主頁(yè)賬號(hào)指向的是Telegram的某位用戶(hù)賬號(hào)“Qhack”。我們?cè)赥elegram上搜索這個(gè)用戶(hù),結(jié)果如下:
從第二張圖片中,我們可以發(fā)現(xiàn)這個(gè)賬號(hào)在1小時(shí)前還在線(xiàn),但是個(gè)人信息中并沒(méi)有什么內(nèi)容,因此推測(cè)這可能只是一個(gè)用來(lái)作為主控端的僵尸賬號(hào)。 通過(guò)樣本關(guān)聯(lián),我們?cè)谶@批樣本的其中一個(gè)簽名下關(guān)聯(lián)到一種不同的樣本,但是都是使用MonoDroid框架編寫(xiě),類(lèi)名、方法名命名極為相似,都有偽裝卸載后臺(tái)隱藏圖標(biāo)啟動(dòng)惡意服務(wù)的行為,但是編寫(xiě)較為粗糙,雖然也進(jìn)行了部分隱私信息的竊取,但并未如前面所分析的使用Telegram進(jìn)行通信,而只是簡(jiǎn)單的使用http的方式進(jìn)行通信,通信的IP為148.251.203.5、148.251.32.113,其中一個(gè)樣本名為“電報(bào)技巧”(Telegram的譯名就叫“電報(bào)”),同樣也是活躍在阿拉伯語(yǔ)的使用地區(qū),推測(cè)這類(lèi)樣本可能是早期的產(chǎn)物。
一代樣本:
二代樣本:
從技術(shù)手法上來(lái)看,使用C#開(kāi)發(fā)Android應(yīng)用不多見(jiàn),推測(cè)攻擊者可能是精于Windows開(kāi)發(fā)的技術(shù)人員,當(dāng)然也不排除是故意為了混淆視聽(tīng)或是規(guī)避殺軟檢測(cè)而為之。從代碼結(jié)構(gòu)上來(lái)看,其模塊劃分比較明確,組織結(jié)構(gòu)安排的也較為合理,同時(shí)其通信過(guò)程完全使用TBA,與TBA配合的遠(yuǎn)控行為邏輯和功能設(shè)計(jì)也頗有特色,從這些角度看來(lái)該攻擊組織具備相當(dāng)不錯(cuò)的技術(shù)水平。
五、總結(jié)
該病毒采用C#編寫(xiě),通過(guò)將邏輯代碼編譯在dll文件中而不是常規(guī)的dex文件中來(lái)規(guī)避常規(guī)的惡意代碼檢測(cè)機(jī)制。此外,該病毒使用了知名應(yīng)用Telegram的Bot進(jìn)行通信,進(jìn)一步增強(qiáng)了其隱蔽性。這說(shuō)明惡意開(kāi)發(fā)者有一定的反查殺意識(shí)和能力。在此基礎(chǔ)上,該病毒建立起了一套完整的遠(yuǎn)程控制體系,涵蓋了各種遠(yuǎn)程控制惡意行為,包括對(duì)各種設(shè)備硬件信息采集、文件管理(文件和文件夾預(yù)覽、移動(dòng)、刪除、重命名、上傳、下載)、短信實(shí)時(shí)監(jiān)控、通話(huà)記錄實(shí)時(shí)監(jiān)控,以及截屏、通話(huà)錄音、圖片、賬戶(hù)、和地理位置實(shí)時(shí)獲取、遠(yuǎn)控?cái)z像頭拍照等等,極大程度上侵犯了用戶(hù)的個(gè)人隱私信息安全,具有非常強(qiáng)的危害性。
對(duì)此,安天移動(dòng)安全聯(lián)合獵豹移動(dòng)安全實(shí)驗(yàn)室已實(shí)現(xiàn)對(duì)該病毒的檢測(cè)查殺,建議用戶(hù)安裝獵豹安全大師等集成安天移動(dòng)反病毒引擎的安全產(chǎn)品,定期進(jìn)行病毒檢測(cè),保護(hù)個(gè)人信息安全。
原文出處: http://blog.avlsec.com/2017/12/5020/tba/
總結(jié)
以上是生活随笔為你收集整理的移动端C#病毒“东山再起”,利用知名应用通信实现远控隐私窃取的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 全面解析多种区块链隐私保护解决方案
- 下一篇: 安天移动安全:Janus高危漏洞深度分析