AVL移动安全团队最近发现了一种Android下捆绑包形式的远程控制木马,其包含了接受指令执行用户隐私上传、发送短信等恶意行为,而捆绑包形式无疑会产生批量化的捆绑木马,捆绑包形式广告件泛滥既是前例。
样本分析
样本基本信息:
| 包名 | com.etheritsolutions.fireball |
| 应用程序名 | Fires |
| 文件大小 | 12,590,415字节 |
包结构分析
这个样本是对正常应用重新打包来生成,打包的过程当中捆绑了恶意包结构。
上面左图是捆绑了恶意包的样本结构,右边是正常的应用包结构。
正常应用的AM结构:
捆绑恶意后的样本AM结构:
对比可以看到恶意样本的AM当中增加了很多用户权限,以及receiver,service信息。
远控指令分析
该木马通过URL获取指令,而其中包含的远控指令相当之多,但都是一些基本的操作,而通过不同的组合可以实现很多功能。
远控指令列表:
| 指令ID | 指令解析 | 指令描述 |
|---|---|---|
| CMD_1 | del_sms | 删除短信 |
| CMD_2 | finish_file_download | 结束文件下载 |
| CMD_3 | finish_file_upload | 结束文件上传 |
| CMD_4 | get_call_log | 获取通话记录 |
| CMD_5 | get_call_log_response | 获取通话记录反馈 |
| CMD_6 | get_contact | 获取联系人 |
| CMD_7 | get_contact_response | 获取联系人反馈 |
| CMD_8 | get_event | 获取事件 |
| CMD_9 | get_event_response | 获取事件反馈 |
| CMD_10 | get_file_list | 获取文件列表 |
| CMD_11 | get_message | 获取短信 |
| CMD_12 | register | 注册 |
| CMD_13 | get_message_response | 获取短信反馈 |
| CMD_14 | request_call_log | 请求通话日志 |
| CMD_15 | request_contact | 请求联系人 |
| CMD_16 | request_create_new_dir | 请求创建新目录 |
| CMD_17 | request_create_new_dir_response | 请求创建新目录反馈 |
| CMD_18 | request_del_message | 请求删除短信 |
| CMD_19 | request_endcontrol | 请求结束控制 |
| CMD_20 | request_calendar_event | 请求日历事件 |
| CMD_21 | request_item_delete | 请求删除项目 |
| CMD_22 | request_item_delete_response | 请求删除项目反馈 |
| CMD_23 | request_file_download | 请求下载文件 |
| CMD_24 | request_file_list | 请求文件列表 |
| CMD_25 | request_file_upload | 请求上传文件 |
| CMD_26 | request_message | 请求短信 |
| CMD_27 | request_record_audio | 请求录音 |
| CMD_28 | request_send_all_message | 请求发送所有短信 |
| CMD_29 | request_send_message | 请求发送短信 |
| CMD_30 | request_show_message | 请求显示短信 |
| CMD_31 | request_startcontrol | 请求开始控制 |
| CMD_32 | result_report_message | 短信操作结果 |
| CMD_33 | set_audio_state | 设置音量和铃声模式 |
| CMD_34 | register_response | 注册反馈 |
列表中主要有读取通话记录、联系人、短信内容、日历事件安排等隐私内容,也有上传下载文件、发送短信、进行录音和音量及铃声模式控制,这一系列组合起来不仅能获取用户各方面隐私和秘密信息,甚至完全可以把被植入木马手机作为窃听工具。
在com/gamescore/Ba类中保存着木马的指令字符串信息:
在com/gamescore/GameScore类中则实现了相应的功能:
在net\socket\util\Za.smali类中实现socket通信:
样本的指令是在运行时联网获取的,而且联网的url信息是在初始化运行时,解密出来的。在GameScore当中,程序初始化了3个url信息,通过解密算法可以获取具体的url信息。
在com/gamescore/Ba当中程序会解密出应用访问的url信息:
小结
该木马是一类功能全面的捆绑包形式的远程指令控制木马,指令比较细微,不仅能窃取各方面的隐私,还可以实现窃听、更改铃声模式,以及发送短信、上传下载任意文件,将可能使用户手机面临更大的威胁。尤其以捆绑包的形式出现,无疑将会产生大批量的捆绑木马,安全前景不容乐观。
用户可以下载AVL移动安全团队AVL Pro对此木马进行查杀。