Monthly Archives: 五月 2014

AVL Pro实战山寨”应用宝”

  今天,一位AVL Pro用户上报了一个被AVL Pro报风险的应用。经过分析人员确认分析,发现该应用为一款伪装为”应用宝”的流氓软件,会在后台静默向用户推送各种广告,对用户无实际作用,浪费用户流量并一定程度破坏用户手机体验。

使用AVL Pro对应用进行分析

  利用AVL Pro对其进行分析,可以发现该应用图标为默认图标(android机器人),且无主Activity——即无主界面,用户无法正常启动该应用。同时可以看到,该应用包名为com.tencent.android.qqdownload且程序名为”应用宝”,但其签名信息并未被AVL Pro标识为官方签名,且根据其签名内容可以看出,该发行者与腾讯毫无关联,我们可以推断该应用为一个盗版应用。而且该应用包含广告件,且申请了开机启动权限,从AVL Pro的分析结论来看,该应用企图伪装为”应用宝”,后台自启动并推送广告获取利益,对用户无实际意义,只能消耗用户流量资费。一旦安装用户毫无感知,可惜被AVL Pro揪了出来。
    AVL-1AVL-2
                 图1 AVL Pro分析结果

            AVL-3
              图2 AVL Pro模拟启动应用,无法启动

对应用进行静态代码以及对比分析

  既然该应用程序名称为应用宝,那么我们下载腾讯官方版本的应用宝与其进行对比分析看看。 首先,我们可以看到官方版本的应用宝拥有图标与认证的正版签名,拥有主Activity,能由AVL Pro正常启动。
  AVL-4AVL-5
                图3 正版应用分析结果

            AVL-6
            图4 正版应用宝可正常启动,有完整界面

  对代码进行比对,发现盗版的流氓”应用宝”仅仅只拥有极少量的类和函数,代码极其简单,与正版应用差别极大。
AVL-7
            图 5 盗版与正版代码结构对比

  对其代码进行分析,该应用 启动后,会在后台开启一个NotificationService服务。该Service保持后台运行,获取前端用户正在运行的应用包名,若该应用不是系统应用,且之后用户切换了应用,则启动线程向前端展示贴片广告,让用户以为是前端运行的应用推送的广告。欺骗用户的同时,给用户体验带来了极大的损害,同时为流氓软件作者赚取了广告费。
AVL-8AVL-9AVL-10
            图 6 恶意代码调用流程

AVL-11
            图7 在前端应用中展示贴片广告

小结

  该流氓应用伪装知名应用,后台保持长期运行,向用户推送广告赚取广告费,但对用户无实际用途,消耗用户流量与相关资费,破坏用户手机体验,消耗用户资费。建议用户可以下载AVL移动安全团队AVL Pro对此木马进行查杀。 同时推荐用户安装AVL Pro对手机各类应用进行分析,做到对自己手机中安装的应用知根知底才能保证自身手机、财产安全。

多个知名应用市场存在欺诈木马SMSfraud.a

AVL移动安全团队最近对正在流行的欺诈木马smsfraud.a进行来源分析,从2013年2月至今,总共捕获smsfraud.a木马样本400余个,其中29.9%拥有下载链接,且皆为国内知名应用市场,尤其大部分链接来自同一个市场,该市场在之前就曾被检测出包含大量木马,参考AVL移动安全团队《某知名应用市场“惊现”大量木马应用》一文。

Trojan/Android.SMSfraud.a木马介绍

该木马运行后,会在后台窃取用户手机及sim卡下所有联系人信息,并向其发送欺诈短信,给用户带来资费消耗的同时,还有可能给您的亲友造成一定的经济损失。

其发送的欺诈短信通常包含以下内容:”惭愧,在K-T-V-后被拉到公-安-局,要交罚金伍仟,我表哥彭湖已到这里,借我壹仟元左右,这种丢脸事,不要告诉别人,谢谢!”,”招- 商-银-行,彭湖,6214-8302-0122-4911,在-公-安-局不方便接电话.转账后发短信告诉,下周还你.”等。

相关统计

从2013年2月截至到目前为止,共发现Trojan/Android.SMSfraud.a恶意样本400余个,按月统计的新样本情况如下:

359

该木马拥有100多个程序名,从程序名的总数和数量分布来看,该恶意代码属于捆绑在一些流行的正常应用中,提高自己被下载传播的概率:

通过渠道查找传播情况,有下载链接的样本120余个,占总样本29.9%,绝大部分网址目前还可以下载到样本,多个国内知名市场均有传播,其中66.3%的链接来自同一个市场。

尤其该市场之前也被发现存在大量木马应用,AVL移动安全团队在先前的《某知名应用市场“惊现”大量木马应用》一文中就曾对此市场进行过播报。

下图为该市场一款名为“WiFi管理器”的下载页面,即上图中标记的样本之一,可见下载量已有7814次:

360

安装后AVL Pro检测出恶意软件:

362

小结

从统计数据来看,该木马至今仍活跃在各应用市场,且通过捆绑在不同正常应用中进行传播,更关键的是国内多个知名应用市场都存在此欺诈木马,尤其上述市场存在大量木马应用,极大的威胁了用户手机安全。

AVL移动安全团队建议相关应用市场也应该加强对上架应用的检测,并尽快下架捆绑有恶意木马的应用,避免沦为恶意代码的免费推手。

用户可以下载AVL移动安全团队AVL Pro对上述恶意应用进行查杀。

捆绑包形式远控木马分析报告

AVL移动安全团队最近发现了一种Android下捆绑包形式的远程控制木马,其包含了接受指令执行用户隐私上传、发送短信等恶意行为,而捆绑包形式无疑会产生批量化的捆绑木马,捆绑包形式广告件泛滥既是前例。

样本分析

样本基本信息:

包名com.etheritsolutions.fireball
应用程序名Fires
文件大小12,590,415字节

包结构分析

这个样本是对正常应用重新打包来生成,打包的过程当中捆绑了恶意包结构。

286

上面左图是捆绑了恶意包的样本结构,右边是正常的应用包结构。

正常应用的AM结构:

287

捆绑恶意后的样本AM结构:

288

对比可以看到恶意样本的AM当中增加了很多用户权限,以及receiver,service信息。

远控指令分析

该木马通过URL获取指令,而其中包含的远控指令相当之多,但都是一些基本的操作,而通过不同的组合可以实现很多功能。

远控指令列表:

指令ID指令解析指令描述
CMD_1 del_sms删除短信
CMD_2finish_file_download结束文件下载
CMD_3finish_file_upload结束文件上传
CMD_4get_call_log获取通话记录
CMD_5get_call_log_response获取通话记录反馈
CMD_6get_contact获取联系人
CMD_7get_contact_response获取联系人反馈
CMD_8get_event获取事件
CMD_9get_event_response获取事件反馈
CMD_10get_file_list获取文件列表
CMD_11get_message获取短信
CMD_12register注册
CMD_13get_message_response获取短信反馈
CMD_14request_call_log请求通话日志
CMD_15 request_contact请求联系人
CMD_16request_create_new_dir请求创建新目录
CMD_17request_create_new_dir_response请求创建新目录反馈
CMD_18request_del_message请求删除短信
CMD_19request_endcontrol请求结束控制
CMD_20request_calendar_event请求日历事件
CMD_21request_item_delete请求删除项目
CMD_22request_item_delete_response请求删除项目反馈
CMD_23request_file_download请求下载文件
CMD_24 request_file_list请求文件列表
CMD_25request_file_upload请求上传文件
CMD_26request_message请求短信
CMD_27request_record_audio请求录音
CMD_28request_send_all_message请求发送所有短信
CMD_29request_send_message请求发送短信
CMD_30request_show_message请求显示短信
CMD_31request_startcontrol请求开始控制
CMD_32 result_report_message短信操作结果
CMD_33set_audio_state设置音量和铃声模式
CMD_34register_response注册反馈

列表中主要有读取通话记录、联系人、短信内容、日历事件安排等隐私内容,也有上传下载文件、发送短信、进行录音和音量及铃声模式控制,这一系列组合起来不仅能获取用户各方面隐私和秘密信息,甚至完全可以把被植入木马手机作为窃听工具。

在com/gamescore/Ba类中保存着木马的指令字符串信息:

289

在com/gamescore/GameScore类中则实现了相应的功能:

291

290

在net\socket\util\Za.smali类中实现socket通信:

285

样本的指令是在运行时联网获取的,而且联网的url信息是在初始化运行时,解密出来的。在GameScore当中,程序初始化了3个url信息,通过解密算法可以获取具体的url信息。

292

在com/gamescore/Ba当中程序会解密出应用访问的url信息:

294

小结

该木马是一类功能全面的捆绑包形式的远程指令控制木马,指令比较细微,不仅能窃取各方面的隐私,还可以实现窃听、更改铃声模式,以及发送短信、上传下载任意文件,将可能使用户手机面临更大的威胁。尤其以捆绑包的形式出现,无疑将会产生大批量的捆绑木马,安全前景不容乐观。

用户可以下载AVL移动安全团队AVL Pro对此木马进行查杀。

警惕手机钓鱼网站植入木马

AVL移动安全团队近期发现一个手机钓鱼wap站点,其伪装成移动掌上营业厅,诱骗用户填入身份证号、银行账户等重要身份信息,并且诱导用户下载安装木马应用。

E6FCB052-ADE8-4BBA-A696-3C2AFD7C0446

这个wap钓鱼站点和移动掌上营业厅几乎一模一样,不同之处在于钓鱼网站上有一个积分可以兑换人民币的信息,用户如果点击兑换按钮,进入如下页面,其需要填写姓名、银行账户信息、身份证号码和手机号码:

D39C8FF8-8750-4781-B1E8-63A952330D782C256C1D-2ADA-4876-A2EE-ACA3EFB62C14

当用户填入自己个人信息之后,信息上传至钓鱼服务器,并诱导下载安装伪装为移动客户端的木马应用:

1E5CAC04-A6A4-4809-8FE4-BBC9DE79F26FA0FDC01F-0A80-412C-8CBA-61A313D65CA1

当用户点击打开木马应用后,会提示激活设备管理器,并隐藏应用图标,木马应用会在后台上传用户短信箱内容至指定手机号码。

通过钓鱼网站和短信转发木马相结合的方式,更容易让用户失去警惕性而被诱骗植入手机木马。

AVL移动安全团队假设了可能具备以下两种攻击场景:

攻击场景一:攻击者利用钓鱼网站在用户手机植入短信转发木马,攻击者修改用户在线支付平台密码,并拦截转发短信验证码:

BB0DE092-3106-49A3-9433-3CF479BBD67D

攻击场景二:攻击者利用钓鱼网站在用户手机植入短信转发木马,攻击者获取受害者和其他人的短信内容,根据获取的短信内容伪造短信诱骗更多的用户:

A94518C0-D905-49A1-9F3F-54AA1A2893D5

用户可以下载安装AVL Pro对该类木马进行安装前的检测和查杀。