趨勢(shì)科技研究發(fā)現(xiàn)了一款A(yù)ndroid惡意木馬——Xavier。在谷歌Play應(yīng)用市場(chǎng)中，超過(guò)800款A(yù)ndroid應(yīng)用感染了該惡意木馬，影響數(shù)百萬(wàn)Android用戶。感染的應(yīng)用范圍覆蓋圖片編輯器，墻紙和鈴聲轉(zhuǎn)換器等。受感染的用戶絕大多數(shù)來(lái)自亞洲東南部國(guó)家，如越南、菲律賓和印度尼西亞，美國(guó)和歐洲的感染人數(shù)較少。

?

?

對(duì)比此前惡意廣告木馬，Xavier的功能及特征更為復(fù)雜。首先他具備遠(yuǎn)程下載惡意代碼并執(zhí)行的能力。其次，它通過(guò)使用諸如字符串加密，Internet數(shù)據(jù)加密和模擬器檢測(cè)等方法來(lái)保護(hù)自己不被檢測(cè)到。

?

Xavier竊取用戶數(shù)據(jù)的行為很難被發(fā)現(xiàn)，它有一套自我保護(hù)機(jī)制，來(lái)躲避靜態(tài)和動(dòng)態(tài)的檢測(cè)分析。此外，Xavier還具有下載和執(zhí)行其他惡意代碼的能力，使它的威脅性大大增加。

?

Xavie進(jìn)化史

?

joymobile

Xavier是惡意廣告下載家族的成員之一，它的存在已有2年時(shí)間。第一個(gè)版本被稱為joymobile，出現(xiàn)在2015年年初。joymobile這個(gè)版本已經(jīng)具備執(zhí)行遠(yuǎn)程代碼的能力。

?

除了收集和泄露用戶信息，它還可以安裝其他應(yīng)用，并在設(shè)備root的情況下實(shí)現(xiàn)靜默安裝。

?

它通過(guò)遠(yuǎn)程命令和C&C服務(wù)器來(lái)發(fā)送和接受信息，并對(duì)這些信息沒(méi)有加密，但是對(duì)所有的常量字符串都進(jìn)行了加密。

?

?

nativemob

第二個(gè)版本命名為nativemob，對(duì)比joymobile我們可以發(fā)現(xiàn)nativemob的代碼重構(gòu)了，并增加了一些新特新。主要是廣告行為和實(shí)用程序。雖然沒(méi)有靜默安裝，但是需要用戶確認(rèn)安裝的程序仍然存在。

?

它比第一個(gè)版本收集更多的用戶信息，并通過(guò)base64編碼發(fā)送這些信息到C&C服務(wù)器。

?

?

nativemob的下一個(gè)變種出現(xiàn)在2016年1月左右，它縮減了字符串加密算法，加密了從遠(yuǎn)程服務(wù)器下載的代碼，并添加了一些反射調(diào)用。

?

?

緊接著在2月份，它更新了各方面的廣告模塊設(shè)置，并出于某種原因刪除了數(shù)據(jù)加密。

?

?

在接下來(lái)的幾個(gè)月里進(jìn)行了進(jìn)一步更新。但是這些更新對(duì)于廣告庫(kù)沒(méi)有進(jìn)行重大更改。

?

Xavier技術(shù)分析

Xavier的變體出現(xiàn)在2016年9月，它的代碼更加精簡(jiǎn)。第一個(gè)版本重去除了APK安裝和root校驗(yàn)，但是加入了TEA加密算法。

?

?

很快它添加了避免動(dòng)態(tài)檢測(cè)的機(jī)制，其結(jié)構(gòu)如下：

?

一旦加載Xavier，它將從C&C服務(wù)器hxxps://api-restlet[.]com/services/v5/得到初始化配置，并使其加密。

?

服務(wù)器還對(duì)響應(yīng)數(shù)據(jù)進(jìn)行加密：

?

?

解密后，我們可以看到它實(shí)際上是一個(gè)json文件：

V代表SDK版本

L代表SDK URL地址

G代表SDK Sid

S代表 SDK設(shè)置

Au與ad配置相關(guān)

?

Xavier將從hxxp://cloud[.]api-restlet[.]com/modules/lib[.]zip下載SDK并讀取配置。但是，lib.zip不是一個(gè)完整的壓縮包。

在得到lib.zip壓縮包之后，Xavier在壓縮包里加入0x50 0x4B頭，并把它命名為xavier.zip的有效文件。

?

加入之前

?

加入之后

?

Xavier.zip包含加載和調(diào)用它的classes.dex文件。

?

?

這個(gè)dex文件將收集用戶的的設(shè)備信息，并加密傳輸?shù)竭h(yuǎn)程服務(wù)器hxxps://api-restlet[.]com/services/v5/rD

如郵箱地址，設(shè)備ID，模型，操作系統(tǒng)版本，國(guó)家，手機(jī)制造商，SIM卡運(yùn)營(yíng)商，安裝的應(yīng)用程序等信息。

?

?

為了躲避動(dòng)態(tài)檢測(cè)，Xavier運(yùn)行在模擬器環(huán)境下還會(huì)隱藏惡意行為。

它會(huì)檢測(cè)設(shè)備是否包含產(chǎn)品名稱、制造商、設(shè)備商標(biāo)、設(shè)備模塊、硬件名稱、指紋等以下字符串。

?

• vbox86p
• Genymotion
• generic/google_sdk/generic
• generic_x86/sdk_x86/generic_x86
• com.google.market
• Droid4X
• generic_x86
• ttVM_Hdragon
• generic/sdk/generic
• google_sdk
• generic
• vbox86
• ttVM_x86
• MIT
• Andy
• window
• unknown
• goldfish
• sdk_x86
• generic_x86_64
• phone
• TTVM
• sdk_google
• Android SDK built for x86
• sdk
• Android SDK built for x86_64
• direct
• com.google
• XavierMobile
• TiantianVM
• android_id
• generic/vbox86p/vbox86p
• com.google.vending
• nox

?

?

Xavier還通過(guò)檢查它是否包含以下字符串，來(lái)隱藏掃描用戶郵箱的行為：

?

• pltest
• @facebook.com
• tester
• @google.com
• review
• playlead
• agotschin
• gptest
• rxwave 15
• rxplay
• admob
• gplay
• adsense
• gtwave
• rxtest
• wear.review
• qaplay
• test
• rxtester
• playtestwave

?

?

Xavier如何避免檢測(cè)？

1、對(duì)所有常量字符串進(jìn)行加密，使得靜態(tài)檢測(cè)和動(dòng)態(tài)分析更加困難

?

?

2、它通過(guò)HTTPS進(jìn)行網(wǎng)絡(luò)傳輸，以防止流量被捕獲，還對(duì)數(shù)據(jù)進(jìn)行加密：

?

?

3、它使用了大量反射調(diào)用方法，其中類名和方法名都進(jìn)行了加密

?

?

4、它會(huì)根據(jù)運(yùn)行環(huán)境隱藏其行為。下面是谷歌播放器的示例，嵌入了一個(gè)Xavier惡意廣告庫(kù)：

?

?

?

保護(hù)措施

1、提防可疑和陌生的應(yīng)用軟件，即便是從官方應(yīng)用市場(chǎng)下載的。盡量下載知名的應(yīng)用軟件。

2、在下載應(yīng)用程序之前，查看應(yīng)用程序需要授權(quán)的權(quán)限，并了解其他用戶的評(píng)論。

3、建議在手機(jī)上安裝安全軟件，可以有效檢測(cè)并阻止惡意軟件，及時(shí)升級(jí)系統(tǒng)和app的版本。

?

* 本文翻譯自trendmicro，更多安全類熱點(diǎn)資訊及知識(shí)分享，請(qǐng)持續(xù)關(guān)注阿里聚安全博客

?

總結(jié)

以上是生活随笔為你收集整理的“Xavier”安卓木马分析：可静默收集数据并远程代码执行的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。