Author Archives: baronpan

警惕手机钓鱼网站植入木马

AVL移动安全团队近期发现一个手机钓鱼wap站点,其伪装成移动掌上营业厅,诱骗用户填入身份证号、银行账户等重要身份信息,并且诱导用户下载安装木马应用。

E6FCB052-ADE8-4BBA-A696-3C2AFD7C0446

这个wap钓鱼站点和移动掌上营业厅几乎一模一样,不同之处在于钓鱼网站上有一个积分可以兑换人民币的信息,用户如果点击兑换按钮,进入如下页面,其需要填写姓名、银行账户信息、身份证号码和手机号码:

D39C8FF8-8750-4781-B1E8-63A952330D782C256C1D-2ADA-4876-A2EE-ACA3EFB62C14

当用户填入自己个人信息之后,信息上传至钓鱼服务器,并诱导下载安装伪装为移动客户端的木马应用:

1E5CAC04-A6A4-4809-8FE4-BBC9DE79F26FA0FDC01F-0A80-412C-8CBA-61A313D65CA1

当用户点击打开木马应用后,会提示激活设备管理器,并隐藏应用图标,木马应用会在后台上传用户短信箱内容至指定手机号码。

通过钓鱼网站和短信转发木马相结合的方式,更容易让用户失去警惕性而被诱骗植入手机木马。

AVL移动安全团队假设了可能具备以下两种攻击场景:

攻击场景一:攻击者利用钓鱼网站在用户手机植入短信转发木马,攻击者修改用户在线支付平台密码,并拦截转发短信验证码:

BB0DE092-3106-49A3-9433-3CF479BBD67D

攻击场景二:攻击者利用钓鱼网站在用户手机植入短信转发木马,攻击者获取受害者和其他人的短信内容,根据获取的短信内容伪造短信诱骗更多的用户:

A94518C0-D905-49A1-9F3F-54AA1A2893D5

用户可以下载安装AVL Pro对该类木马进行安装前的检测和查杀。

由Heartbleed漏洞引发的应用登录危机

2014年4月7日OpenSSL发布重大安全公告,在OpenSSL1.0.1至1.0.1f版本中存在严重漏洞(CVE-2014-0160),该漏洞能使攻击者获取多达64K内存数据,并可能造成用户登录信息、密码、cookie信息等重要信息的泄露。而攻击者对网站反复进行内存数据获取就可能累计大量有效信息。这个漏洞之严重,被广泛称为心脏出血漏洞。

AVL移动安全团队随后对漏洞细节进行分析,特别是对移动应用的登录认证方式做了集中分析,发现大量热门移动应用的登录入口使用https协议,并且多数由OpenSSL搭建,可能存在相关漏洞,在近期用户手机客户端登陆过这些站点的用户也均存在用户名密码信息泄漏的风险。需要在漏洞修复后及时修改密码。并且AVL移动安全团队还发现多个热门应用还存在使用http协议明文上传用户名和登录验证信息,在假Wi-Fi热点、无线Sniffer泛滥的今天,攻击者能轻易截获用户的用户名密码信息。

其中发现街旁网登录域名在4月10日仍然存在Heartbleed漏洞,可能导致用户使用其移动客户端登录时会有登录信息泄露风险,随后,该网站修复了此漏洞。

还有中国联通沃商店客户端涉及登录域名存在Heartbleed漏洞。

54914BF7-60EA-4A65-BEF6-4326429FC85A

可能造成登录用户用户名、密码以及cookie信息的泄露:

2B28A090-CB69-4EA3-9C28-60E5F5989A81

还有很多热门应用采用非加密方式进行登录验证,其中,很遗憾的发现热门应用大众点评存在明文上传登录用户名和密码行为:

07C96E5F-153A-4B05-9D85-2F63F271E336

还有国内著名电商网站京东的移动客户端在登录和注册界面存在明文上传用户名和登录信息的行为:

device-2014-04-10-170350device-2014-04-10-170426

D33F0D51-F2EC-4DF6-BC6C-777A61E7FB8A

这里登录的loginpwd信息为密码的md5值,而没有进行任何加盐处理。还有人以为MD5是单向算法所以保存口令是安全的,实际上早在几年前,14位以下字符串的MD5就已被制作成彩虹表,成为了攻击者的标配。即不需要通过暴力破解,而可以通过查表方式“秒破”。同时也没有看到这个登录过程做了有效的抗重放攻击的处理。

用户可以下载安装最新版的AVL Pro和登录漏洞检测插件对手机中应用是否存在登录信息泄露风险进行检测。

device-2014-04-10-223624device-2014-04-10-231354device-2014-04-10-231344

后记

AVL移动安全团队随后还发现部分热门站点针对移动设备的Web访问入口,均存在明文上传用户名和密码的情况,手机用户应该尽量避免在手机连接公共Wifi的情况下在手机浏览器上直接访问一些热门站点,以免登录信息被窃取。

doubanrenren

315曝光手机预装木马分析报告

概述

在今年的315晚会上首次披露了国内某些提供手机预装服务的厂商涉嫌在预装应用过程中植入木马应用到用户手机ROM中,这些木马应用主要用于窃取部分用户隐私信息并上传进行牟利,并且在手机非root下无法进行删除。

AVL移动安全团队在先前的《警惕”手机预装木马”窃取隐私》《“手机预装木马”窃取隐私后续》两篇文章中就对此类手机预装木马情况进行了播报。 Continue reading

315曝光基于二维码传播的手机短信转发木马分析报告

背景概述

在今年的315晚会上曝光了基于二维码的手机木马侵害用户利益,介绍了攻击者通过诱骗用户扫描恶意的二维码,将木马植入用户手机中,该木马会将用户手机中所有短信内容(包括支付宝、银行短信)转发上传至攻击者指定的手机号码,从而达到窃取用户在线支付帐号的目的,对用户的隐私和财产安全造成了极大的威胁。

早在2013年11月22号,网易科技就在新闻《已被证实 手机支付藏惊天漏洞》一文中报道了用户在线支付账户的钱财被莫名转走,尤其是在用户扫描过未知的二维码之后等相关事件。 Continue reading

“手机预装木马”窃取隐私后续

AVL移动安全团队在《警惕”手机预装木马”窃取隐私》一文中对一类“手机预装木马”进行了分析,并且发现了其将窃取的隐私上传至某知名手机预装联盟网站,随后我们继续追踪发现了其网址下某链接公布有大量的上传隐私数据,其中包括了设备信息,SIM卡信息,上传时间统计,和手机上安装的所有应用列表:

09F4D5BE-D13B-460D-A1DA-EFE1BE6AE04A

通过统计的数据显示,这批涉及隐私泄露的手机数目达84000余个,均为2011年10月份至2012年底通过刷机方式植入预装木马,并且在2012年1月就达到了1.5W的植入量。

7D886F84-39BA-4539-991B-8D8EA2ED92FD

下图为木马植入手机的型号统计信息和提供刷机服务的店铺统计,可以看到通过某天X数码店铺刷机植入的木马上传隐私次数最多,其是一家在北京中关村的店铺。

A81B6B73-66CE-41AB-82BF-98773BFF588644F2E777-5127-4EFA-8742-FF8CF98D102A

在对木马上传的用户手机应用列表统计显示,排名第一的就是“罪魁祸首”木马应用,通过包名查询发现其为Trojan/Android.Romzhandian.a家族。

6DCFBEB0-8B50-4D32-A917-25FF99A2A029

需要警惕恶意软件通过线下刷机的形式植入用户手机,并威胁用户手机的安全。

警惕另类Activity“劫持”

AVL移动安全团队最近发现一类木马私自发送扣费短信,上传用户隐私到控制服务器,并且采用了一种Activity劫持手段诱骗用户安装和防止卸载,给用户手机安全带来威胁。

诱骗安装

木马被安装后,监听重启,锁屏等消息,并自动触发联网下载恶意APK文件:

10CC3B82-53B0-42A8-BEDE-76B6FD3F7364

当下载完成,会触发安装管理器,但此时显示的却是一个伪造的“协议申明”,并骗取用户点击,当用户误点击取消后,木马应用就被安装在用户手机上了。

90E5BB6D-2CD6-4555-B38D-566A8A23DFC8E1F2D7C2-9919-4768-882F-1B60E2540BB1

接着,木马会再次尝试激活设备管理器,并且同样伪造一个界面骗取用户点击,从窗体层次来看,此时顶层的Activity为设备管理器,所以当用户点击确认时,实际上完成了设备管理器的激活操作:

02715F59-A20A-46DA-8E4F-77FE9C51AB75259A4921-F5E6-404C-8026-62549E5EFABE

防止卸载

当用户尝试从设备管理器取消激活木马应用时,木马会弹出“设备管理器异常”的提示,并且阻止用户点击退回或者返回桌面,导致只能重启手机:

8014C780-24BE-445F-9A11-A458C87270AC4223EEE1-E617-4DAE-9AA0-DE54C53204F0

木马小结

该木马通过改变当前Top Activity的layout层次,而不是通过覆盖一个伪造的Activity,这是因为木马需要诱骗用户点击执行静默安装和激活设备管理器操作。这种通过修改Activity layout层次实现覆盖效果的行为,还能够更改原始Activity组件对用户点击的默认响应行为。

95476390-8B1F-4A5C-8CE8-348C71472F2F

用户可以下载AVL Pro对上述木马进行查杀。

某知名应用市场“惊现”大量木马应用

AVL移动安全团队最近对国内某知名安卓应用市场上的3W多个应用进行抽样检测和分析,结果发现有高达12.6%的样本应用非官方应用,并且捆绑了恶意的木马或吸费广告,其中对恶意的样本应用统计结果表示,87%为木马应用,G-Ware和RiskWare分别占据7%和6%。统计了数量在Top 5的恶意家族情况,并且意外的发现83.3%的恶意代码均为FakeMoJi家族。 Continue reading

细数恶意代码对抗技术之加密(三)-加壳

恶意代码除了运用前两篇中提到的加密对抗技术以外,有少量的恶意代码还利用了类似于加壳的高级对抗手段,甚至会利用一些公开的应用加固方案,其中最为典型的当属Syrup家族。

从Syrup家族说起

Syrup家族是AVL移动安全团队在2013年上半年就发现的一类恶意样本,其首次运用了Tim Strazzere在BlackHat上演讲所提到的公开技术,其将恶意的可执行文件加密并插入到DEX头部,然后在运行时释放加载。 Continue reading

细数恶意代码对抗技术之加密(二)-代码隐藏

在上一篇的加密对抗技术中主要针对样本中的明文信息,这一篇涉及的加密对抗技术主要是主体代码的隐藏。

通常恶意代码中采用的此类技术大多将关键的配置信息(例如URL),动态加载的APK、DEX、ELF、SO文件等以资源文件的形式存储,并且以加密、切割、插入的形态存在。下面以几个典型示例为例进行说明:

配置信息加密资源隐藏方式

样本将相关配置信息加密后分别存放至res/raw下的a、b、c三个文件,运行时读取三个文件的内容然后解密还原为明文配置信息。 Continue reading

细数恶意代码对抗技术之加密(一)-字符串加密

随着这两年Android恶意代码数量的爆炸式增长,恶意代码与逆向工程师之间的猫捉老鼠游戏也愈演愈烈。恶意代码为了防止被反编译,采用了各式各样的对抗手段,总的来说可以总结为三大类:

  • 混淆
  • 加密
  • Native实现

这篇文章主要列举了恶意代码当前采用的加密类对抗技术,特别是对代码中的明文字符串信息加密。

早期的加密技术

早期的恶意代码通常会采用某种字符串变换方式或者简单的加密函数来隐藏关键的字符串信息(例如上传服务器的URL信息等): Continue reading