Monthly Archives: 八月 2014

xxshenqi木马分析报告

Post by drov

    七夕佳节,良辰美景,世人忙碌于恩恩爱爱之际,却爆发了一个蝗虫般的木马xxshenqi。在媒体渲染之下,此木马已是人尽皆知谈毒色变,因此AVL移动团队对此木马进行了详细分析。

样本概述:

样本情况如下:

木马的恶意性描述:

    该木马以”XX神器”作为伪装,诱骗用户安装并点击运行。运行后,后台向用户所有联系人发送”看这个,http://cdn.yyupload.com/down/4279193/XXshenqi.apk”短信,进行恶意传播;在界面上弹出对话框欺骗用户点击安装其恶意子包——com.android.Trogoogle;并伪装界面骗取用户进行注册——以获取用户手机号、姓名和身份证号等隐私信息;恶意子包安装后,宿主木马会直接启动恶意子包,恶意子包一旦被启动,即直接隐藏图标并后台开启服务;通过后台服务,恶意子包监听并拦截短信,并将短信通过短信和email方式发送给恶意代码作者,泄漏用户隐私。同时,恶意代码作者可以通过发送短信指令操纵木马伪造短信、删除短信、发送短信等。

图1 伪装界面,安装子包并骗取用户隐私信息

样本分析

动态分析:

    安装并运行”XX神器”,从后台监控可以看到运行即向通讯录群发短信——

“看这个,http://cdn.yyupload.com/down/4279193/XXshenqi.apk”

    同时,通知恶意代码作者,短信已经群发。

点击安装,则会安装恶意子包,恶意子包安装成功后即启动,并后台向恶意代码作者发送短信,告知木马已经安装成功。

    界面上接着出现”XX神器”登录界面,由于用户无帐号密码,则需要点击注册,注册中需要用户输入帐号密码以及姓名和身份证号。

    用户输入身份证号、姓名后,即后台向恶意代码作者发送短信告知其用户的姓名和身份证号。泄漏用户隐私。

而恶意代码子包一直保持后台运行,监听用户短信,执行一系列窃取隐私的恶意行为。

主包代码分析:

    主包结构其实很简单,其中关键代码在于获取联系人信息,并将联系人作为前缀发送传播短信。

    获取联系人信息:

    将联系人作为前缀发送传播短信:

恶意子包代码分析:

    对恶意子包——com.android.TrogoogleV1.0.apk进行分析,其代码结构十分简单,包含恶意包结构com/example/com/android/trogoogle以及发送邮件用的开源SDK——com/sun/mail。

    后台服务——ListenMessageService启动后,开始读取所有联系人信息、收发短信箱信息,同时向恶意代码作者汇报处理情况。当查询到恶意代码作者发送过来的短信时,根据短信指令执行相应操作——插入伪造短信、删除短信等。

    查询收信箱时,判断是否为恶意代码作者发送的短信,是,则根据短信内容执行相应命令操作。命令包括:伪造短信、发送link命令、启动email发送等。之后,将非恶意代码作者发送的短信全部以短信形式发送给恶意代码作者。同时,还可以通过email将用户所有的短信信息发送至恶意代码作者的邮箱。

    恶意子包还在后台注册了监听短信的BroadcastRecvMessage用于监听、拦截短信。当发现为恶意代码作者指令短信时,拦截该短信并执行相应的命令。当监听到非指令类短信时,判断是否跟”淘宝”相关,如果相关则转发这条短信并重点提示恶意代码作者为重要信息,若相关则进行简单的转发。

总结

    样本原理非常简单,技术含量很低,但之所以能快速且大面积地传播,完全利用了广大用户安全意识薄弱的弱点,通过通信录联系人来做前缀来获取信任,降低了用户的安全意识。用户可以使用AVL Pro对此木马进行查杀。

    虽然最后如闹剧般的收场,作者被抓,只是一个大一学生的恶作剧。而此次事件也不由联想到当年的熊猫烧香,不过恶作需慎重,炫耀技术的同时也应该注意是否触犯了法律,该学生以及熊猫烧香作者被抓既是前车之鉴。

    而这种几乎看起来很容易被识别和戳破的事情,却硬生生的在一个体系中传播了开来,这也给国内移动安全行业敲响了警钟。