Monthly Archives: 三月 2014

僵尸网络“挖矿”木马CoinKrypt分析报告

安全公司Lookouts披露了一款名为CoinKrypt的恶意软件,其特点是可以利用Android智能机组成的僵尸网络,进行数字货币的“挖矿”工作。AVL移动安全团队随即对其进行了详细的分析。

背景概况

2009年面世的比特币(BitCoin),在2011年之前,最高也只值20美分;而在2013年里,其最高价格已经超过1000美元。可以想象,短短两三年时间,之前几乎一文不值的比特币究竟有多火热。随之全世界里层出不穷的发行了上百种数字货币,比特币、莱特币、泽塔币、便士币(外网)、隐形金条、红币、极点币、烧烤币、质数币等等。 比特币行情虽然因被多个国家封杀而降低,但其交易依然频繁,图为比特币和莱特币最新行情(2014-3-31)。 003 现今火热的虚拟数字货币基本都是基于比特币概念实现的,与大多数货币不同,比特币等虚拟货币不依靠特定货币机构发行,它依据特定算法,通过大量的计算产生。P2P的去中心化特性与算法本身可以确保无法通过大量制造比特币来人为操控币值,基于密码学的设计可以使比特币只能被真实的拥有者转移或支付,这同样确保了货币所有权与流通交易的匿名性。

比特币及其他数字货币的产生需要通过大量的计算,这一过程有着“挖矿”这样接地气的名字。随着时间的推移,数字货币的开采难度已经大幅增加,个人挖矿俨然不切实际,由此在pc平台下已经出现了大量数字货币窃取木马以及集群式僵尸网络挖矿木马,而在移动智能平台这还是头一遭。

样本分析

样本基本信息

Trojan/Android.Coinkrypt.a家族 样本列表: 006

样本主要行为

该类应用包含恶意代码,运行时会联网下载一个可执行文件,并调用其登录网络矿池、挖掘数字货币,给用户带来资费消耗和电量流失。 网络行为: 1、 socket通信,更新DOWNLOAD_LINK下载链接及POOL_LIST(网站矿池) 2、 下载一个可执行文件,调用其其登录网络矿池、挖掘数字货币

详细分析

1、 ConnectivityListener监听网络状态改变的广播,判断Main服务(“FlowCoin”进程)是否开启

2、 启动Main(“FlowCoin”)服务,写Coin配置文件 007 解密获取POOL_LIST /FreivprCebivqre –hey=uggc://91.234.105.69:9327 –hfrecnff=YoULkLThLHRReqcx9L63cvW1N4dW3gAtw1:k –guernqf=1 –ergevrf=5;
/ServiceProvider –url=http://91.234.105.69:9327 –userpass=LbHYxYGuYUEErdpk9Y63piJ1A4qJ3tNgj1:x –threads=1 –retries=5;

3、 socket联网91.234.104.125:5558,接收远程指令,更新DOWNLOAD_LINK或POOL_LIST 更新DOWNLOAD_LINK下载链接 008 接收”Update”指令,更新POOL_LIST(网站矿池) 009

4、 访问DOWNLOAD_LINK下载文件(默认为http://flowsurf.ogspy.net/miner.php),并调用执行该文件、进而登录POOL_LIST,开始挖矿。但分析时候这个地址已经不可访问,所以不能更进一步的分析。 下载文件写入到”/data/data/包名/files/ServiceProvider”文件中 010

下载完成后,调用StartMining方法,执行该文件登录POOL_LIST(网络矿池)、开始挖矿

011

查看域名ip,来自法国 012

虚拟货币挖矿流程:

各种虚拟货币挖矿流程大同小异,而且步骤都很少只有以下几个,值得注意是在矿池账号里需要设置好矿工账号,即挖矿软件所用来登陆的账号密码。样本里面解析出来的“/ServiceProvider –url=http://91.234.105.69:9327 –userpass=LbHYxYGuYUEErdpk9Y63piJ1A4qJ3tNgj1”,可能就是相应矿池的服务器和矿工账号信息。

005

至于虚拟货币的交易方式,是通过虚拟货币钱包软件来进行的,钱包客户端其实是一个P2P工具,里面会实时同步保存所有同一种货币的交易信息。同时钱包也是公钥密码系统,其负责转账的钱包地址是由比特币公钥进行哈希运算得出的(不可逆),而这个地址可以看作是银行卡号,矿池账号里也是通过设置钱包地址来与挖矿的产出挂钩。

小结

该木马风险并不高,不过因为数字货币的开采工作相当耗费资源,因此这个过程可能会迅速且严重地耗尽设备的电量以及大量发热。此外,定期进出的数据亦会很快吞噬完你的套餐内流量、而长时间的高频率运行亦可能损坏设备硬件。所以从设备状态很容易观察出是否感染此木马。

值得注意的是CoinKrypt针对的是莱特币(Litecoin)、狗币(Dogecoin)、以及卡斯币(Casinocoin),而不是相对更流行的比特币,这也是由于比特币开采更为困难收益更低,相对而言莱特币等币种更容易获益。即便如此,在智能手机上开采数字货币效率依然非常低。按照Lookout的数据,使用Nexus 4进行测试ndLTC的开采速度只有8Kh/s(每秒8千次哈希计算),大概需要连续挖矿7天,才能够开采出0.01枚莱特币——约合20美分。

不过在我们分析时候,样本内的URL很多以及不可访问,所以无法进行更细致的分析。此样本虽然危害并不高,但却体现了强烈的目的性和恶意代码发展的功能多样性。而僵尸网络技术,除了用来挖矿,还可有很多其他用处,如DDOS、代理跳板、云计算、窃取秘密等。

用户可以下载AVL移动安全团队AVL Pro对上述恶意应用进行查杀。

315曝光手机预装木马分析报告

概述

在今年的315晚会上首次披露了国内某些提供手机预装服务的厂商涉嫌在预装应用过程中植入木马应用到用户手机ROM中,这些木马应用主要用于窃取部分用户隐私信息并上传进行牟利,并且在手机非root下无法进行删除。

AVL移动安全团队在先前的《警惕”手机预装木马”窃取隐私》《“手机预装木马”窃取隐私后续》两篇文章中就对此类手机预装木马情况进行了播报。 Continue reading

315曝光基于二维码传播的手机短信转发木马分析报告

背景概述

在今年的315晚会上曝光了基于二维码的手机木马侵害用户利益,介绍了攻击者通过诱骗用户扫描恶意的二维码,将木马植入用户手机中,该木马会将用户手机中所有短信内容(包括支付宝、银行短信)转发上传至攻击者指定的手机号码,从而达到窃取用户在线支付帐号的目的,对用户的隐私和财产安全造成了极大的威胁。

早在2013年11月22号,网易科技就在新闻《已被证实 手机支付藏惊天漏洞》一文中报道了用户在线支付账户的钱财被莫名转走,尤其是在用户扫描过未知的二维码之后等相关事件。 Continue reading

“手机预装木马”窃取隐私后续

AVL移动安全团队在《警惕”手机预装木马”窃取隐私》一文中对一类“手机预装木马”进行了分析,并且发现了其将窃取的隐私上传至某知名手机预装联盟网站,随后我们继续追踪发现了其网址下某链接公布有大量的上传隐私数据,其中包括了设备信息,SIM卡信息,上传时间统计,和手机上安装的所有应用列表:

09F4D5BE-D13B-460D-A1DA-EFE1BE6AE04A

通过统计的数据显示,这批涉及隐私泄露的手机数目达84000余个,均为2011年10月份至2012年底通过刷机方式植入预装木马,并且在2012年1月就达到了1.5W的植入量。

7D886F84-39BA-4539-991B-8D8EA2ED92FD

下图为木马植入手机的型号统计信息和提供刷机服务的店铺统计,可以看到通过某天X数码店铺刷机植入的木马上传隐私次数最多,其是一家在北京中关村的店铺。

A81B6B73-66CE-41AB-82BF-98773BFF588644F2E777-5127-4EFA-8742-FF8CF98D102A

在对木马上传的用户手机应用列表统计显示,排名第一的就是“罪魁祸首”木马应用,通过包名查询发现其为Trojan/Android.Romzhandian.a家族。

6DCFBEB0-8B50-4D32-A917-25FF99A2A029

需要警惕恶意软件通过线下刷机的形式植入用户手机,并威胁用户手机的安全。

警惕另类Activity“劫持”

AVL移动安全团队最近发现一类木马私自发送扣费短信,上传用户隐私到控制服务器,并且采用了一种Activity劫持手段诱骗用户安装和防止卸载,给用户手机安全带来威胁。

诱骗安装

木马被安装后,监听重启,锁屏等消息,并自动触发联网下载恶意APK文件:

10CC3B82-53B0-42A8-BEDE-76B6FD3F7364

当下载完成,会触发安装管理器,但此时显示的却是一个伪造的“协议申明”,并骗取用户点击,当用户误点击取消后,木马应用就被安装在用户手机上了。

90E5BB6D-2CD6-4555-B38D-566A8A23DFC8E1F2D7C2-9919-4768-882F-1B60E2540BB1

接着,木马会再次尝试激活设备管理器,并且同样伪造一个界面骗取用户点击,从窗体层次来看,此时顶层的Activity为设备管理器,所以当用户点击确认时,实际上完成了设备管理器的激活操作:

02715F59-A20A-46DA-8E4F-77FE9C51AB75259A4921-F5E6-404C-8026-62549E5EFABE

防止卸载

当用户尝试从设备管理器取消激活木马应用时,木马会弹出“设备管理器异常”的提示,并且阻止用户点击退回或者返回桌面,导致只能重启手机:

8014C780-24BE-445F-9A11-A458C87270AC4223EEE1-E617-4DAE-9AA0-DE54C53204F0

木马小结

该木马通过改变当前Top Activity的layout层次,而不是通过覆盖一个伪造的Activity,这是因为木马需要诱骗用户点击执行静默安装和激活设备管理器操作。这种通过修改Activity layout层次实现覆盖效果的行为,还能够更改原始Activity组件对用户点击的默认响应行为。

95476390-8B1F-4A5C-8CE8-348C71472F2F

用户可以下载AVL Pro对上述木马进行查杀。

还原一个真实的AV-TEST

马格德堡是德国并不算太出名的一个城市,相对来说,可能这个城市只能算的上德国的二线小城市。如果没有太多特殊原因,我想,这个城市和我不会有太多缘分。不过,很荣幸的是在AV-TEST的2013年的年度奖项中,Antiy AVL被评为2013年年度最佳防护能力的移动安全产品奖项,也因此,拉开了我们前往马格德堡参观AV-TEST的序幕。 Continue reading

某知名应用市场“惊现”大量木马应用

AVL移动安全团队最近对国内某知名安卓应用市场上的3W多个应用进行抽样检测和分析,结果发现有高达12.6%的样本应用非官方应用,并且捆绑了恶意的木马或吸费广告,其中对恶意的样本应用统计结果表示,87%为木马应用,G-Ware和RiskWare分别占据7%和6%。统计了数量在Top 5的恶意家族情况,并且意外的发现83.3%的恶意代码均为FakeMoJi家族。 Continue reading

细数恶意代码对抗技术之加密(三)-加壳

恶意代码除了运用前两篇中提到的加密对抗技术以外,有少量的恶意代码还利用了类似于加壳的高级对抗手段,甚至会利用一些公开的应用加固方案,其中最为典型的当属Syrup家族。

从Syrup家族说起

Syrup家族是AVL移动安全团队在2013年上半年就发现的一类恶意样本,其首次运用了Tim Strazzere在BlackHat上演讲所提到的公开技术,其将恶意的可执行文件加密并插入到DEX头部,然后在运行时释放加载。 Continue reading

细数恶意代码对抗技术之加密(二)-代码隐藏

在上一篇的加密对抗技术中主要针对样本中的明文信息,这一篇涉及的加密对抗技术主要是主体代码的隐藏。

通常恶意代码中采用的此类技术大多将关键的配置信息(例如URL),动态加载的APK、DEX、ELF、SO文件等以资源文件的形式存储,并且以加密、切割、插入的形态存在。下面以几个典型示例为例进行说明:

配置信息加密资源隐藏方式

样本将相关配置信息加密后分别存放至res/raw下的a、b、c三个文件,运行时读取三个文件的内容然后解密还原为明文配置信息。 Continue reading

细数恶意代码对抗技术之加密(一)-字符串加密

随着这两年Android恶意代码数量的爆炸式增长,恶意代码与逆向工程师之间的猫捉老鼠游戏也愈演愈烈。恶意代码为了防止被反编译,采用了各式各样的对抗手段,总的来说可以总结为三大类:

  • 混淆
  • 加密
  • Native实现

这篇文章主要列举了恶意代码当前采用的加密类对抗技术,特别是对代码中的明文字符串信息加密。

早期的加密技术

早期的恶意代码通常会采用某种字符串变换方式或者简单的加密函数来隐藏关键的字符串信息(例如上传服务器的URL信息等): Continue reading