假借知名应用植入恶意模块,披着羊皮的“狼”来了!WarThunder远程控制木马预警

By | 2016年6月17日

         近期,安天AVL移动安全和猎豹移动安全实验室共同截获一款名为WarThunder的远程控制木马程序。该病毒将恶意模块植入知名应用以诱骗用户下载并实施远程控制中毒设备的恶意操作。正如披着羊皮的“狼”, WarThunder假借知名应用的外壳正到处招摇撞骗,目前已有上万用户感染此病毒。

        WarThunder一旦被不知情用户安装到手机中,会在用户解锁手机屏幕或手机电池电量、网络发生变化时,任性自启运行。该病毒运行后会尝试与远程服务器通信获取远程控制指令,根据指令完成一系列远程控制恶意行为,如上传用户的短信和联系人等隐私信息、控制用户的手机向指定号码发送指定短信、拦截包含指定字段的短信或指定号码的短信并转发到指定号码、推送虚假消息诱导用户点击访问安全性未知的网络链接等。

         如巫婆的魔法棒一般,WarThunder可以通过远程控制服务器发送任意指令,对肉机(受控手机)进行任意的操作,用户在不知情下将有可能遭受重大损失。

1.知名应用植入恶意模块

         通过分析发现一些知名应用部分版本当中已被植入了WarThunder病毒的恶意模块,其中包含有“UC浏览器” ,“腾讯视频”,“AVG Cleaner”等国内外的主流应用(详细见附录)。被植入恶意模块的应用程序包结构如下图所示。

图1-1

图 1被植入恶意模块的应用程序包结构

2.恶意行为分析

        WarThunder病毒的恶意行为完全依赖于远程控制服务器的指令来完成执行。恶意模块启动后通过socket方式与远程控制服务器建立连接,并接收远程控制服务器发送的控制指令信息。根据指令数据内容的不同可以对受害用户手机执行以下高危险的远程控制操作:拦截并转发短信,利用通知栏向用户推送虚假消息,控制用户手机向指定号码发送指定短信,设置远程控制服务器主机地址,上传用户的短信和联系人重要隐私信息。

        指令的数据流格式以2A、3A 、4A开头。2A开头的数据指令执行主要远程的控制行为,相关的控制指令信息在2A后续的JSON数据当中。3A,4A开头的指令控制将用户手机设置为静音,非震动的模式。详细的指令数据信息如下表所示:

图2-2

2.1拦截并转发指定短信

         WarThunder病毒运行后会在/data/data/<packagename>/databases/目录下创建“tasked.db”数据库文件,同时创建数据库表“keytable”。该病毒接收到远程控制服务器发送来的指令信息后,将拦截短信的指令参数解析出来保存到数据表“keytable”中。当受害用户手机接收到短信后,该病毒根据表“keytable”中的关键词或者指定号码拦截相关的短信,并将相关的短信转发到指定手机号码。

图3-3

图 2 keytable表字段说明

tu 4-4

图 3拦截短信

2.2通知栏推送虚假通知

         恶意模块接收到远程控制服务器发送的带有”title”,” content”,“url”数据信息的指令时,将在受害用户手机的通知栏创建带有应用程序自身图标的虚假通知消息,诱导用户点击访问由指令设定的网络链接。其中“title”表示通知栏的标题,“content”表示通知栏的正文信息,“url”表示通知栏信息被点击时访问的链接。

图5-5

图 4 通知栏推送虚假通知

2.3远程控制发送短信

         恶意模块接收到远程控制服务器发送的带有“sn”,“sm”数据信息的指令时,将控制受害用户手机私自向指定号码发送指定短信,同时将包含执行结果和指令编号的信息联网回传到远程控制服务器。

图6-6

图 5 向指定号码发送指定短信

2.4动态更新远程控制服务器

        恶意模块在运行时还会解析指令信息中的“host”字段,以获取更新后的远程控制服务器地址,并将新的远程控制地址保存在受害用户手机的/data/data/<packagename>/shared_ prefs/preferences.xml配置文件中。动态更新恶意服务器地址使得WarThunder病毒具备更加灵活的远程控制能力,并能够更长时间潜伏在用户手机。

图7-7

图 6 更新远程控制服务器

3.恶意程序危害性

         安天AVL移动安全和猎豹移动安全实验室通过对WarThunder病毒的网络通信数据包进行分析,发现远程控制服务器仍然有活性,能够与恶意模块建立连接并持续发送心跳数据;远程控制服务器与恶意模块建立连接后还会收集受害用户的设备固件信息,但并未向恶意程序模块发送远程控制指令相关信息。

图8-8

图 7 上传用户设备信息、发送心跳的网络通信数据

         从WarThunder病毒当前统计数据来看,被植入病毒的应用仍然有大量用户安装使用。当前WarThunder病毒虽然没有实际较大恶意性的远程控制行为但仍具有潜在危害性。若远程控制服务器能够正常发送控制指令,WarThunder病毒将具有很强的攻击能力,极大可能会造成用户的隐私泄露,甚至是资产损失。比如:利用拦截指定的短信可能会对用户的银行验证码短信、支付宝验证码短信等网银、支付隐私短信进行拦截、转发并上传,对用户的财产造成危害;利用通知栏推送虚假消息并诱导用户点击钓鱼网站或者恶意应用下载地址;控制大量的受害用户形成“移动僵尸网络”,向更多的号码发送欺诈、诱骗短信造成更多的用户受害。

4.安全建议

        针对WarThunder系列病毒,AVL Inside系列集成合作方产品以及猎豹系列安全产品已经实现全面查杀。安天AVL移动安全和猎豹移动安全实验室提醒您:

        1.请保持良好的上网习惯,不要在非官方网站或者不知名应用市场下载任何应用;

        2.安装杀毒软件并经常使用病毒扫描功能及时清除恶意山寨应用。

         安天AVL移动安全专注于移动互联网安全技术研究及反病毒引擎研发,为合作伙伴提供强大的移动安全解决方案。2014年,猎豹与安天AVL移动安全团队达成引擎战略合作。

         AVL Inside以全球最佳移动反病毒引擎为核心,专注于为企业和厂商伙伴提供针对性的移动终端威胁防护解决方案,如病毒检测、金融安全防护、上网安全防护等安全能力输出。目前已与众多知名厂商达成战略合作,为猎豹、小米MIUI、阿里云YunOS、OPPO、努比亚、步步高、LBE、安卓清理大师、AMC等合作伙伴提供移动反恶意代码能力,为全球过亿终端用户保驾护航。

附录

C&C相关信息

329[.]gku2267[.]com:21

217[.]gku2267[.]com:8890

444[.]aahhjg[.]com:8890

110[.]aahhjg[.]com:8890

q321[.]adfegc[.]com:8890

q123[.]adfegc[.]com:8890

Laji[.]adfegc[.]com:8890

z001[.]adfegc[.]com:8890

q002.adfegc[.]com:8890

q001[.]adfegc[.]com:8890

111[.]adfegc[.]com:8890

222[.]adfegc[.]com:8890

333[.]adfegc[.]com:8890

q444[.]adfegc[.]com:8890

555[.]adfegc[.]com:8890

666[.]adfegc[.]com:8890

部分植入WarThunder病毒的应用信息

图9-9

转载请注明来源:http://blog.avlsec.com/?p=3298

微信二维码

发表评论

电子邮件地址不会被公开。 必填项已用*标注