首个利用Tor匿名通信的木马

By | 2014年2月27日

AVL移动安全团队最近分析了一个Android下利用Tor匿名网络上传用户隐私的木马样本,最终达到隐藏控制节点的目的。

样本分析

样本基本信息

样本MD558FED8B5B549BE7ECBFBC6C63B84A728
包名com.baseapp
应用程序名BaseApp
文件大小4,885,996 字节

样本结构

样本结构主要分为木马主体逻辑Tor网络通信两个部分:

64CEFD94-43FF-47A3-8CD0-491BFD5FC9F1ACC5E9F2-3E95-44C4-A46B-1E2EC672E84E在res/raw下为tor通信所需的bin和配置文件:

32EB2798-D7C0-4AE6-9459-97800B83B5FF

样本主要行为

木马首次运行时会提示激活设备管理器,并删除自身图标并隐藏:

B898846B-ACBF-4D73-8BCF-05DDFBC2D077

并且后台Service会启动tor和privoxy,并监听8118、9050、9051端口:

8D74CFE1-F5B0-42A8-A9DF-927BAF4493BD

AC07FE6A-CB2A-4FC4-B25A-CB4EF4A51AC2

木马拦截短信并接收短信指令控制,监听短信箱内容变化,将指定的用户隐私通过tor匿名上传至指定域名http://yuwurw46taaep6ip.onion/

以下为短信控制指令列表:

短信指令行为描述
#intercept_sms_start打开拦截并转发接收的短信
#intercept_sms_stop关闭拦截并转发接收的短信
#ussd执行指定的USSD命令
#listen_sms_start打开监听短信箱
#listen_sms_stop关闭监听短信箱
#grab_apps获取安装App列表
#send_sms发送短信到指定号码
#control_number设置控制手机号码
#check发送手机设备IMEI、IMSI等相关信息

样本小结

木马能够接收并处理一套完整的C&C指令,并且首次通过Tor匿名网络实现对控制服务器的隐藏,使得对攻击者身份的反追踪更加困难。

用户可以下载AVL移动安全团队AVL Pro对此木马进行查杀。

发表评论

电子邮件地址不会被公开。 必填项已用*标注