捆绑包形式远控木马分析报告

By | 2014年5月10日

AVL移动安全团队最近发现了一种Android下捆绑包形式的远程控制木马,其包含了接受指令执行用户隐私上传、发送短信等恶意行为,而捆绑包形式无疑会产生批量化的捆绑木马,捆绑包形式广告件泛滥既是前例。

样本分析

样本基本信息:

包名com.etheritsolutions.fireball
应用程序名Fires
文件大小12,590,415字节

包结构分析

这个样本是对正常应用重新打包来生成,打包的过程当中捆绑了恶意包结构。

286

上面左图是捆绑了恶意包的样本结构,右边是正常的应用包结构。

正常应用的AM结构:

287

捆绑恶意后的样本AM结构:

288

对比可以看到恶意样本的AM当中增加了很多用户权限,以及receiver,service信息。

远控指令分析

该木马通过URL获取指令,而其中包含的远控指令相当之多,但都是一些基本的操作,而通过不同的组合可以实现很多功能。

远控指令列表:

指令ID指令解析指令描述
CMD_1 del_sms删除短信
CMD_2finish_file_download结束文件下载
CMD_3finish_file_upload结束文件上传
CMD_4get_call_log获取通话记录
CMD_5get_call_log_response获取通话记录反馈
CMD_6get_contact获取联系人
CMD_7get_contact_response获取联系人反馈
CMD_8get_event获取事件
CMD_9get_event_response获取事件反馈
CMD_10get_file_list获取文件列表
CMD_11get_message获取短信
CMD_12register注册
CMD_13get_message_response获取短信反馈
CMD_14request_call_log请求通话日志
CMD_15 request_contact请求联系人
CMD_16request_create_new_dir请求创建新目录
CMD_17request_create_new_dir_response请求创建新目录反馈
CMD_18request_del_message请求删除短信
CMD_19request_endcontrol请求结束控制
CMD_20request_calendar_event请求日历事件
CMD_21request_item_delete请求删除项目
CMD_22request_item_delete_response请求删除项目反馈
CMD_23request_file_download请求下载文件
CMD_24 request_file_list请求文件列表
CMD_25request_file_upload请求上传文件
CMD_26request_message请求短信
CMD_27request_record_audio请求录音
CMD_28request_send_all_message请求发送所有短信
CMD_29request_send_message请求发送短信
CMD_30request_show_message请求显示短信
CMD_31request_startcontrol请求开始控制
CMD_32 result_report_message短信操作结果
CMD_33set_audio_state设置音量和铃声模式
CMD_34register_response注册反馈

列表中主要有读取通话记录、联系人、短信内容、日历事件安排等隐私内容,也有上传下载文件、发送短信、进行录音和音量及铃声模式控制,这一系列组合起来不仅能获取用户各方面隐私和秘密信息,甚至完全可以把被植入木马手机作为窃听工具。

在com/gamescore/Ba类中保存着木马的指令字符串信息:

289

在com/gamescore/GameScore类中则实现了相应的功能:

291

290

在net\socket\util\Za.smali类中实现socket通信:

285

样本的指令是在运行时联网获取的,而且联网的url信息是在初始化运行时,解密出来的。在GameScore当中,程序初始化了3个url信息,通过解密算法可以获取具体的url信息。

292

在com/gamescore/Ba当中程序会解密出应用访问的url信息:

294

小结

该木马是一类功能全面的捆绑包形式的远程指令控制木马,指令比较细微,不仅能窃取各方面的隐私,还可以实现窃听、更改铃声模式,以及发送短信、上传下载任意文件,将可能使用户手机面临更大的威胁。尤其以捆绑包的形式出现,无疑将会产生大批量的捆绑木马,安全前景不容乐观。

用户可以下载AVL移动安全团队AVL Pro对此木马进行查杀。

发表评论

电子邮件地址不会被公开。 必填项已用*标注