国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

Ztorg木馬分析: 從Android root木馬演變到短信吸血鬼

fjcgreat / 2101人閱讀

摘要:目前為止,發現的幾十個新的木馬的變異程序,無一例外都是利用漏洞在受感染的設備上獲得權限。自去年月以來,惡意木馬大約次繞過的自動化惡意程序檢查程序進入官方應用市場。為了隱藏這類活動,木馬會關閉設備聲音并刪除所有收到的短信。

本月第二次,Google 從官方應用商店 Google Play 中移除了偽裝成合法程序的惡意應用。被移除的應用都屬于名叫 Ztorg 的 Android 惡意程序家族。目前為止,發現的幾十個新的Ztorg木馬的變異程序,無一例外都是利用漏洞在受感染的設備上獲得root權限。

但是卡巴斯基實驗室的安全研究人員發現,在2017年5月下旬以來,在最新捕獲的Ztorg木馬(Magic Browser、Noise Detector)的變異程序中,卻發現它們并沒有使用設備的root權限。黑客利用了惡意木馬,在感染的設備中發送付費短信(Premium Rate SMS)并立即刪除,用戶資金在不知不覺中被竊取。

什么是Premium Rate SMS?

Premium Rate SMS是一種付費短信模式,通過發送特殊的文本信息,用戶自動扣費。例如通過手機短信捐款,辦理付費業務等。最新ztorg木馬利用該模式來牟利,這項技術讓黑客的利益最大化,并降低了被發現的風險。

Ztorg為何這么難被檢測到?

多模擬器檢測功能,它可以檢測到Android SDK模擬器,如genymotion,BlueStacks, buildroid。它還檢測設備感染環境,這些檢測很難被繞過。 使用基于XOR的字符串混淆。 采用DES-CBC加密遠程服務器進行通信。 從遠程服務器下載、安裝和啟動Android應用程序。 自去年 9 月以來,Ztorg 惡意木馬大約 100 次繞過 Google 的自動化惡意程序檢查程序進入官方應用市場。被稱為 Magic Browser 的 Ztorg 惡意應用下架前被下載量超過 5 萬次。


另一款叫 Noise Detector 的應用被下載了超過 1 萬次,上個月被移除的 Privacy Lock 下載量超過百萬。

Ztorg攻擊過程分析

惡意程序啟動后,木馬將休眠10分鐘,然后連接到命令和控制(C&C)服務器。這樣如果用戶發現了一些奇怪的東西,他們就不太可能把它與剛剛安裝的應用程序聯系起來。

Ztorg木馬從C&C獲取命令使用了一個有趣的技術,它向C&C提供兩個GET請求,其中包括國際移動用戶識別碼(IMSI)。第一個請求如下所示:

GET c.phaishey.com/ft/x250_c.txt(其中250 - IMSI的前三位數字)

如果木馬收到一些響應數據,將會發出第二個請求。第二個請求如下所示:

GET c.phaishey.com/ft/x25001_0.txt(其中25001 - IMSI的前五位數字)

為什么需要國際移動用戶識別碼(IMSI)?

IMSI的有趣之處在于前三位數字是MCC(移動用戶所屬國家代號),第三位和第四位是MNC(移動網號碼)。使用這些識別碼,攻擊者可以識別受感染用戶的國家和移動運營商,準確的選擇應該發送哪類付費短信。

在對這些請求進行響應時,木馬可能會收到一些加密的JSON文件,其中包含一些數據。此數據應包括offer列表,每個offer均包含一個名為“url”的字符串字段,可能包含也可能不包含實際的網址。木馬將嘗試使用自己的類打開或查看該字段。如果這個值確實是一個真實的url,那么木馬會向用戶顯示其內容。但是如果它是假的url,就會帶有一個短信字樣的子串,要求用戶回復一個短信,其中就包含提供的號碼,如下圖,

令人意想不到的是,當服務器收到網址訪問或短信后,木馬將關閉設備聲音,并開始刪除用戶收到的所有短信。

雖然我們無法獲得在Google Play傳播的木馬的任何命令,但是通過對其他具有相同功能的木馬程序的分析,我們得到了以下命令:

{“icon”:”http://down.rbksbtmk.com/pic/...”,”id”:”-1″,”name”:”Brower”,”result”:1,”status”:1,”url”:”http://global.621.co/trace?of...″}

這是一個常規的廣告offer。

WAP付費訂閱

我們在Google Play商店及其他正規的應用商店發現相同功能的許多惡意app。有趣的是,它們看起來不像獨立木馬程序,更像是一些木馬程序的附加模塊。進一步研究發現,這些木馬是由一個常規的Ztorg木馬和其他Ztorg模塊一起組合而成。

在其中一些木馬中,我們發現它們使用MCC從惡意網址下載了一個JS文件。

于是,為了分析,我們下載了幾個JS文件,它們使用了不同的MCC,可以推斷這些攻擊者是來自不同國家的用戶。由于無法獲取美國MCC的文件,所以只能嘗試從其他國家獲取的MCC文件中找到一些功能相似的文件。我們發現,所有的文件都包含一個名為“getAocPage”的函數,它最有可能是AoC(收費通知)。在分析這些文件后,我發現他們的主要目的是通過WAP計費對網頁進行點擊攻擊。在進行攻擊時,木馬可以從用戶的移動帳戶竊取資金。 WAP帳單的攻擊方式與付費短信類似,區別就是它采用了訂閱付款的形式,而不是一次性詐騙,下圖就是,來自俄羅斯用戶的CnC的JS文件(MCC = 250)

這意味著該木馬從CnC收到的網址不僅可以是廣告網址,還可以是帶有WAP付費訂閱的網址。此外,一些使用包含“/ subscribe / api /”CnC URL功能的木馬程序,也可能參考付費訂閱的功能。

所有這類木馬,包括來自Google Play的木馬,都在嘗試從任意設備向用戶發送短信。為此,黑客使用大量方法來發送短信,以下就是 “Magic browser”應用程序的部分代碼。

總而言之,從上述代碼我們可以發現,黑客為了能夠從不同的Android設備和版本來發送短信,試圖從11個不同的地方向受害者發送短信。此外,我們還找到另一個變異過的SMS.AndroidOS.Ztorg木馬的惡意程序,試圖通過“am”命令發送短信,雖然這種方法并沒有行得通。

短信木馬與Ztorg惡意軟件家族的關系

“Magic browser”惡意應用程序的升級方式與Ztorg木馬程序類似。“Magic browser”和“Noise Detector”應用程序與其他Ztorg木馬共享了許多相似之處的代碼。此外最新版本的“Noise Detector”在assets folder的安裝包中包含加密文件“girl.png”,解密后,此文件就會變為Ztorg木馬。

我們發現了幾個常規Ztorg木馬和其他Ztorg模塊一起安裝,具有相同功能的木馬程序。而不是像“Magic browser”將附加的Ztorg模塊作為獨立木馬在Google Play傳播。2017年4月,我們發現一個名為“Money Converter”的惡意木馬已經在Google Play上安裝了上萬多次。它使用Accessibility Service安裝Google Play的應用程序。因此,即使在無法獲得root權限的設備上,木馬程序也可以靜默安裝、運行并升級惡意應用程序,無需與用戶進行任何交互。

root權限攻擊演變到短信木馬攻擊

雖然“Magic browser”和“Noise Detector”惡意應用程序使用了相同的功能,但是我們認為它們各有不同的用途。前者上傳時間較早,我們認為黑客只是在檢測能否上傳此類惡意應用程序,上傳成功后,它們并沒有更新版本。但是后者不同,它看起來像黑客試圖上傳受常規Ztorg木馬感染的應用程序。但是在上傳過程中,他們決定增加一些惡意功能來賺錢。“Noise Detector”的更新歷史證明了這一點。

5月20日,黑客上傳了一個名為“Noise Detector”的清理app。幾天后,他們更新一個未感染的版本。然后,他們上傳了一個包含加密ztorg木馬的版本,但是無法解密和執行。緊接著第二天,他們終于更新了短信木馬的功能,但仍沒有增加解密和執行的Ztorg模塊。很可能,如果該應用尚未從Google Play中刪除,則他們將在下一階段添加此功能,還有一種可能是,即嘗試添加此功能時被Google發現了木馬的存在,并導致其被刪除。

總結

我們發現了一個非同尋常的短信木馬通過Google Play傳播。它不僅使用十幾種方法來發送短信,而且還以特殊的方式初始化這些方法:使用來自CNC命令來處理網頁的加載錯誤。并且它可以打開廣告網址,此外它與具有相同功能的Ztorg惡意軟件相關,通常由Ztorg作為附加模塊安裝。

通過分析這些應用,我們發現黑客通過點擊攻擊來劫持WAP付費業務。這意味著該木馬不僅可以打開廣告鏈接,發送付費短信,還可以通過WAP付費業務打開網頁并從賬戶中盜取資金。為了隱藏這類活動,木馬會關閉設備聲音并刪除所有收到的短信。

這不是Ztorg木馬第一次在Google Play上傳播,例如在4月份他們就上傳了一個模塊,可以點擊Google Play商店應用按鈕安裝甚至購買這些推廣應用。

MD5

F1EC3B4AD740B422EC33246C51E4782F

E448EF7470D1155B19D3CAC2E013CA0F

55366B684CE62AB7954C74269868CD91

A44A9811DB4F7D39CAC0765A5E1621AC

1142C1D53E4FBCEFC5CCD7A6F5DC7177

文章來源于securelist、securityaffairs,阿里聚安全編譯

更多安全類熱點資訊及知識分享,請持續關注阿里聚安全博客

網址:https://jaq.alibaba.com/commu...

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/44448.html

相關文章

  • Ztorg木馬分析Android root木馬演變短信血鬼

    摘要:目前為止,發現的幾十個新的木馬的變異程序,無一例外都是利用漏洞在受感染的設備上獲得權限。自去年月以來,惡意木馬大約次繞過的自動化惡意程序檢查程序進入官方應用市場。為了隱藏這類活動,木馬會關閉設備聲音并刪除所有收到的短信。 本月第二次,Google 從官方應用商店 Google Play 中移除了偽裝成合法程序的惡意應用。被移除的應用都屬于名叫 Ztorg 的 Android 惡意程序家...

    qingshanli1988 評論0 收藏0
  • 警惕一大波銀行類木馬正在靠近,新型BankBot木馬解析

    摘要:就在近期,阿里聚安全檢測到大量新型家族木馬,木馬偽裝成等應用,可劫持全球至少家大型銀行手機用戶。如果不確定手機是否毒,可以安裝阿里錢盾等手機安全軟件,對手機上的應用進行檢測,防止高風險惡意應用的安裝。 背景 來自安全公司Dr.Web的研究人員說,最近一個未命名的Android銀行木馬源代碼在地下黑客論壇遭到了泄露。就在近期,阿里聚安全檢測到大量新型BankBot家族木馬,木馬偽裝成Go...

    mengbo 評論0 收藏0

發表評論

0條評論

fjcgreat

|高級講師

TA的文章

閱讀更多
最新活動
閱讀需要支付1元查看
<