Android短信指令远控木马Herta木马分析报告

By | 2014年4月8日

post by 南山

AVL移动安全团队最近发现了另一例Android下短信指令控制木马,其接受短信指令执行用户隐私上传、发送指定短信等等,除此外还具备执行任意shell脚本命令。

样本分析

样本基本信息:

包名com.security.update
应用程序名Android Runtime Library
文件大小73,791字节

该木马首次运行时会发送短信通知控制者(默认控制者手机号码:1503****394),然后注册短信接收器,监听短信指令。

短信指令对照表:

短信指令行为描述
c001#手机号码设置控制者的手机号码
c005#uploadurl设置上传用户隐私信息的URL
c006#手机号码设置上传手机联系人信息的手机号码
c007#downloadurl设置下载文件的URL
c100#手机号码%短信内容发送指定的短信
c101#shell脚本执行shell脚本
c102#FileName下载指定的文件
c201#获取联系人信息,加密发送到指定的手机上
c202#下载配置信息
c999#FileName下载更新版本,通知栏弹出假的系统更新信息,用户点击后,弹出安装界面

以下以其中的三个短信指令为例来说明:

c100#手机号码%短信内容

12

可以看到木马将指定内容短信发送到指定手机号码

c101#shell脚本

该木马支持两种方式执行shell命令,这里以执行mkdir命令来进行验证:

1.执行短信指令中指定shell命令

67

此时,在指定目录下创建了test1目录:

8

2.运行短信指令中指定的shell脚本

9 11

此时,在指定目录下创建了test2目录:

12

c200#intNum#intNum

3 4

在接收此短信指令后,木马会读取通话记录和短信箱内容,以及设备信息,并存放在sdcard路径下,以备后续上传到指定URL。

小结

该木马是一类功能全面的短信指令控制木马,并且增加了对shell命令的执行,通过下载任意指定URL的文件指令和执行shell命令相结合,可以完成执行任意shell命令的功能,使用户手机暴露在更大的威胁之下。

用户可以下载AVL移动安全团队AVL Pro对此木马进行查杀

One thought on “Android短信指令远控木马Herta木马分析报告

  1. 飞刀

    “另一例Android下短信指令控制木马”,为什么要说“另”?

    Reply

发表评论

电子邮件地址不会被公开。 必填项已用*标注