Monthly Archives: 十二月 2014

2014年移动恶意色情应用研究报告

Post by drov

一、引言

AVL移动安全团队在分析2014全年移动恶意代码时发现:大量移动恶意应用通过色情内容诱导用户下载并安装使用,这些应用不但涉嫌传播淫秽色情内容,还可能执行恶意扣费、恶意推广、窃取用户隐私等操作,造成用户隐私泄露或经济损失。

因此,AVL移动安全团队针对移动恶意色情应用的传播情况、行为特点等进行深入分析。希望帮助大家充分了解移动恶意色情应用的危害性,培养良好的上网习惯和安全防范意识。

二、恶意色情应用传播特点

1.传播情况

2014年,AVL移动安全团队捕获色情应用超过10万个,其中恶意色情应用占比高达65%。下图展示了2014年每月捕获的色情应用及恶意色情应用的数量变化趋势,可以看出此类应用数量呈现出爆发式增长。 1

图 1 恶意色情应用数量变化情况

2.传播内容

1) 恶意色情应用名称Top10

恶意色情应用利用极具诱惑力的名称引诱用户下载,下图展示了2014年出现频率排名前十的恶意色情应用名称。 2

图 2 恶意色情应用名称Top10

2) 恶意色情应用家族Top10

据AVL移动安全团队统计, 2014年十大恶意色情应用家族如图3所示。其中数量最多的是Fakesysui家族。2014年6月之前,该家族通过伪装成系统应用,并推送广告的方式非法牟利。此后该家族大量伪装成色情应用,诱骗用户下载安装。通过这种变化情况,我们可以看出部分恶意代码家族已开始借色情应用的高诱惑性进行推广传播。 3

图 3 恶意色情应用家族Top10

3. 传播模式

1) 通过手机色情网站传播

色情网站挂马传播是传统PC上恶意软件的主要传播途径之一,随着移动恶意应用的爆发式增长,AVL移动安全团队在手机端也发现了类似的传播方式:当用户通过手机浏览器访问被挂马的色情网站时,会被诱导安装恶意色情应用。相关场景如图4 所示。 4

图 4 手机色情网站诱导安装恶意色情应用

2)通过恶意色情应用传播

AVL移动安全团队分析发现,除了利用色情挂马网站传播外,恶意开发者还会将恶意代码包装成色情应用大肆传播。此种方式下,色情内容和页面展示功能分别由不同的后台服务器提供,这在一定程度上增加了手机安全软件的查杀难度。 该方式下恶意代码通过不断创建虚假快捷方式、弹对话框、伪造通知栏等方式引诱用户点击安装,最终导致手机中安装大量恶意应用。相关场景如图5所示。 5

图 5 恶意色情应用诱导安装其他恶意应用

三、恶意色情应用行为特点

1.趋利性明显

2014年6月 “快播”被严打后出现了一些捆绑在色情应用中的恶意代码,这类恶意代码利用色情图标和内容引诱用户下载,安装后会在后台不断推送恶意应用,消耗手机流量、非法赚取推广费用甚至发送扣费短信,逐步形成一条通过恶意推广和恶意扣费进行非法牟利的灰色利益链。具体描述如图6所示。 6

图 6 恶意色情应用灰色利益链

1) 牟利方式:恶意扣费

恶意色情应用最直接的牟利方式:向特定SP号码发送短信进行扣费。以“禁播视频”为例,图标和应用名都有明显的色情暗示,应用内容为“欲女初生”、“性爱俱乐部”的短视频。用户浏览过程中,后台会访问远程服务器获取相关指令,发送扣费短信并拦截相关回执短信,造成用户经济损失。
以下是某手机安全软件截获该色情应用,并提示该应用会发送扣费短信的相关截图如图7所示。 7

图 7 运行后立即发送扣费短信

2) 牟利方式:恶意推广

由于各大手机安全软件对扣费类恶意应用的查杀力度不断增大,恶意开发者也逐渐利用恶意推广手段非法赚取推广费用。由于色情内容的高诱惑性,色情应用与恶意推广行为迅速结合,形成以恶意推广为特点的恶意色情应用。 恶意色情应用利用色情信息引诱用户下载安装,一旦有手机安装,恶意色情应用则会推送并安装大量其他恶意应用,不仅影响用户的手机使用体验,还可能造成严重的经济损失。
恶意色情应用的流氓推广过程如图8所示。

8

图 8 恶意色情应用的流氓推广行为

以下是一款色情应用引诱用户安装插件,安装后不断在后台推送其他恶意色情内容相关截图: 9

图 9 诱骗用户安装流氓插件,后台无限制推送其他恶意应用

2. 逃避手机安全软件查杀

由于各大手机安全软件的检测查杀能力不断增强,一些恶意色情应用也开始借助其恶意流氓推广行为躲避手机安全软件的查杀。 以yypush家族为例,2014年6月,捆绑该恶意家族的恶意色情应用数量达到7千个。随着手机安全软件的查杀,该恶意家族数量从7月开始有明显下降(详见图10)。在此期间,恶意开发者立即开始利用另一个具有相同行为特征的家族newpaysdk76在后台推广yypush家族,最终逃避手机安全软件的查杀。 图10是家族yypush和newpaysdk76在互相推广期间的数量变化情况。

10

图 10 伴生家族逃避检测

通过流氓推广,不同家族的恶意代码利用色情信息为媒介在用户手机中进行疯狂传播推广,而使用这种分散的伴生传播方式,能让恶意色情软件逃避手机安全软件的查杀。

四、安全建议

面对恶意色情应用愈加泛滥的移动应用环境,AVL移动安全团队建议广大用户:

1. 切勿主动搜索、下载色情应用,不点击任何色情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接;

2. 切勿被色情应用的名称、内容所诱惑欺骗,不要轻易访问自己不熟悉的视频网站;

3. 切勿轻易下载网站推荐的应用,以防上当受骗;

4. 安装应用之后,要选用正规厂商的手机安全软件AVL Pro对该应用进行扫描,检查手机是否被安装恶意应用,一旦发现,立即卸载;

5. 建议用户培养良好的上网习惯,定期为手机扫描体检,远离恶意应用威胁。

AVL移动安全团队专注于移动互联网安全技术研究及反病毒引擎研发,提供强大的移动安全解决方案。欢迎关注我们的微信公众号AVLTeam,我们会定期发布一些移动安全相关资讯,希望能够对您有所帮助。 转载请注明来源:http://blog.avlyun.com/?p=2026

文章分享地址:
微信二维码

PoisonCake In the ROM(English Version)

Post by baronpan

Summary

AVL Team & LBE discovered a new backdoor in an infected mobile phone. It is an executable ELF file, and we believed it is part of new variant of “FakeDebuggerd.C”[1]. Because this ELF can execute directly without others, and also performs comprehensive mal-behaviors, so we name it along. The malware author calls it a cake, so we named this backdoor “PoisonCake”.

PoisonCake can setup itself, decrypt and drop other payloads, create background services, and is able to perform these malicious behaviors:

1.Inject com.android.phone, send and intercept SMS.

2.Send premium SMS or visit WAP site.

3.Collect phone info, upload to remote server.

4.Able to download files.

5.Able to update itself.

PoisonCake is complex. It has an explicit and extensible structure. It also uses sort of ways to make itself harder to discovered, detected and cleaned.

Malware workflow and behavior

PoisonCake separates to three parts: initialization, core framework and plugins.

dm is the initialization executable file, which is an ELF, performing setup and environment initialization. It drops reactore.dex.jar and runs it in main thread, and also creates a monitor thread for watching main thread.

reactore.dex.jar is the core framework, which declares basic interfaces, implements core services, decrypts and releases plugins, and finally stays in a loop, waiting for new events and commands.

The final part of PoisonCake is plugins. PoisonCake contains 8 plugins to support its extensibility. Each plugin performs a different job. For example, one of the plugins named bean, it supports code injection. It will inject libblackbean.so and redbean.dex.jar to com.android.phone. The injected part will listen on port 10023 and accept commands.

Base on the eight plugins, PoisonCake is able to do these malicious behaviors:

1.Send and intercept SMS.

2.Network management, especially for APN.

3.Phone info collections, including IMEI, IMSI, phone number etc.

4.Support heartbeat connection to keep online.

5.Send premium SMS or visit WAP site.

6.Upload and Download, post records to remote server.

7.Support self-update.

PoisonCake workflow graph below: 1

Analysis of PoisonCake Malware

Malware related files and relations

During the execution, PoisonCake will create some directories and temporary files. It also releases payloads and plugins, but will delete them immediately for prevent detection.

File created by PoisonCake:

/data/.3q/dm

Directories created:

/data/usr

/data/usr/dalvik-cache

/data/usr/plugins

Temporary files created:

/data/.l1

/data/.l6

/data/.l9

/data/tmp/enj

Log and record files created: /mnt/sdcard/sysv/lv

/mnt/sdcard/sysv/lg1 /data/usr/honey

Initialization malicious executable

dm performs setup and initialization of PoisonCake. It accepts parameter “–setup”. It encrypts all strings to defeat static analysis. dm will execute these in a particular order:

1) Decrypt sensitive information to string array in memory.

2) Check /data/.dmtjjexit exist or not, if exist, process exit.

3) Process environment setting, change process name to jworker/0I:2H:1J.

4) Copy itself to /data/.3q/dm, create directory /data/usr, delete itself.

5) Fork itself, child process execute /data/.3q/dm, it will finish things remain.

Self-Protection mechanism

The main thread of dm will create a thread, which will fork continually. 2

3

To prevent generating too many child processes, dm will create two file locks to block new created process. The file lock is named .l6, .l9 and saved in /data.

We can see the processes and file locks list here during the execution.

4

By creating child process frequently, it makes harder to terminate it. If we kill each of the process, the other one will create a new.

Core malicious executable file

reactore.dex.jar is the core framework of PoisonCake, which is an zip file containing a classes.dex and 8 encrypted plugins.

5

The core framework provides basic interfaces declaring. The basic interfaces separated into 4 parts:

1) Infrastructor Responsible for most basic functions provider, like DB operation.

2) Repository Responsible for feature management.

3) Services Background executed services.

4) Component Independent part for feature providing.

The core framework also provides some core services and basic command implement.

After reactore.dex.jar being dropped and loaded, it first decrypts and releases plugins to /data/plugins. Then it scans and loads all classes implement by plugins.

It initializes Infrastructor, Repository, Service and Component in a particular order. After initialization done, it will process all the events which added during the initialization.

Finally, this core framework starts a loop, waiting for handler processing. The whole workflow graph is below:

6

Analysis of the malicious plug-in

PoisonCake implements 8 plugins, each one implements a different major function.

7

Analysis of some major plugins here.

1)bean

bean implements injection to com.android.phone. It will first release an ELF named whitebean, and executes the following command:

a. whitebean –check libblackbean.so

Runtime checking, check if can retrieve android::AndroidRuntime::mJavaVM and android::AndroidRuntime::getRuntime or not.

b. whitebean com.android.phone libblackbean.so readbean.dex.jar cache Release /data/usr/server.log

Inject libblackbean.so and redbean.dex.jar into com.android.phone, and execute com.android.phone.os.Program.main to start running the injection code.

The injection part will inherit permissions from com.android.phone, so it will support these features:

1 Send and intercept SMS

2 Query phone information, IMEI, IMSI, phone number, connection status etc.

3 Network management, APN and Cellular. Finally, it will listen on port 10023 to accept command request from bean.

2)honeybee

honeybee record log information, save and encrypt to /data/usr/honey, and will upload it to the remote server. The post url is http://slasty.hada1billi.info/honeycomb/ums/postEvent. The honey file is encrypted by AES, We decrypt it here.

8

3)sun

sun provides networking connection support, and heartbeat connect service to the remote host for keeping online. The heartbeat host here is http://ubaj.tndmnsha.com/throne.

Interesting technology details

In the analyzing of PoisonCake, we found some interesting technology. PoisonCake using the JNI_CreateJavaVM API to load and run the JAR payload, which exported by libdvm.so. It will pass the following parameters:

–Djava.class.path=/data/usr/reactore.dex.jar -Djava.compiler=NONE -verbose:jni

In this way, the PoisonCake doesn’t need to install any APK files to the system. Most of the security software just scan APK files under system and app directory, so PoisonCake is more harder to detected.

We also find some fingerprint of the malware author and the malware creation time.

We guess the malware author named ruanxiaozhen. The core framework reactor.dex.jar created at 26 Aug 2014.

9

The initialization executable dm is created at 19 Nov 2014. 10

Detection and Clean policy

Professional Users can execute “ps” command to list mobile phone processes, check whether “dm” or “jworker” exist to determine whether the phone infected PoisonCake or not. Users can also check /data/.3q/dm, /data/usr. Users can also download PoisonCake Killer Tool[2] for detecting and cleaning.

References

[1] Report of FakeDebuggerd.C by 360 http://blogs.360.cn/360mobile/2014/11/24/analysis_of_fakedebuggerd_c_and_related_trojans

[2] PoisonCake Killer Tool by AVL Team https://update.avlyun.com/AvlPro/PoisonCakeKiller.apk

Appendix A: Malware and Payloads Hash

11

Appendix B: Significant Malicious Behaviors

Release and run reactor.dex.jar:

12

Post sensitive information to remote server: 13

Start local listening: 14

Read preferences to collect phone information: 15

PoisonCake In the ROM(中文版)

Post by baronpan

由AVL移动安全团队推出PoisonCake专杀工具新鲜出炉啦~
工具下载地址:https://update.avlyun.com/AvlPro/PoisonCakeKiller.apk

概述

近期,AVL移动安全团队发现一款ROM下的恶意代码模块,该恶意代码模块为ELF格式可执行文件。AVL移动安全团队对其进行分析后发现,该恶意代码行为与“长老木马三代”较为相似,由于该恶意代码可以完全独立运行,并且实现上和之前的“长老木马三代”有比较大的差异,并且恶意代码作者将其运行释放模块称为“Cake”,所以我们将其命名为“PoisonCake”。

PoisonCake可以单独运行,并解密释放相关主体模块,后台监控自身进程和执行以下恶意行为:

  • 1. 注入Phone进程,拦截短信和发送短信
  • 2. 实现短信和WAP扣费
  • 3. 窃取手机信息,并上传至远程服务器
  • 4. 联网下载文件
  • 5. 能够进行自我更新

在分析过程中,我们还发现该恶意代码中存在明显的恶意代码作者身份标识tjj,ruanxiaozhen,并且其最后编译时间为2014年8月26日10点20分。

下面将对PoisonCake进行详细的分析。

一、PoisonCake运行机制

PoisonCake运行时,会将自身移植/data/.3q隐藏目录,并后台监控自身进程运行,防止自身进程被终止;其在执行过程中会创建多个目录和文件,主要有: /data/.3q/dm /data/usr(目录) /data/usr/dalvik-cache(目录) /data/usr/plugins(目录) /data/.l1 /data/.l6 /data/.l9 /mnt/sdcard/sysv/lv /mnt/sdcard/sysv/lg1

其主体模块分为reactore.dex.jar核心框架和8个插件模块提供各类行为实现,插件模块提供了扣费、联网上传下载、获取手机信息等功能,并且能够注入系统Phone进程,进行短信的监听和发送,以及对联网的控制。

其整体运行框架如下所示: 1

二、dm模块

dm模块是PoisonCake的运行核心,其完成恶意代码的初始化,恶意模块reactor.dex.jar的释放和运行,并后台监控自身进程是否存在,并且其将关键的字符串信息进行加密。

1、初始化

dm接受“–setup”参数完成初始化行为:

  • 1)解密关键的字符串信息为字符串数组
  • 2)判断/data/.dmtjjexit是否存在,若存在,则进程退出
  • 3)设置进程环境变量,并将进程名称改为jworker/0I:2H:1J
  • 4)将自身拷贝到/data/.3q/dm,并创建/data/usr目录,并删除自身
  • 5)fork自身并退出,子进程执行/data/.3q/dm,由其完成余下工作

2、后台监控

dm采用了文件锁和线程的方式,能持续监控自身进程保持后台运行。如下所示,dm运行时后台有两个进程。
2

3

创建子线程,不断循环创建自身子进程的行为,并且利用文件锁,保证建立的子进程在父进程存在的时候组塞:
4 5

如果kill掉父进程或者子进程任意一个时,其会再创建一个新的进程。

3、reactor.dex.jar解密释放和运行

最后dm进程会从自身文件中解密释放reactor.dex.jar至/data/usr: 6

dm随后将释放的reactore.dex.jar加载运行,其利用libdvm.so中的JNI_CreateJavaVM运行jar,其参数列表为 –Djava.class.path=/data/usr/reactore.dex.jar -Djava.compiler=NONE -verbose:jni 然后注册native函数getGirls,最后执行com/tj/Main的main方法。

4、getGirls方法

dm还同时为reactore.dex.jar提供native方法实现,其接受两个参数,作用为解密指定jar文件到指定路径。

三、reactore.dex.jar模块

reactore.dex.jar是由一个负责初始化环境、循环遍历执行事件和命令的框架模块和数个插件模块组成,其将功能模块实现分成四个主要类别:

  • 1)基础设施Infrastructor
  • 2)业务仓库Repository
  • 3)服务Service:负责后台执行相关功能
  • 4)组件Component

其整体执行逻辑流程如下图:
7

四、插件模块

reactore.dex.jar内置默认了8个插件模块,每个插件分别执行不同的行为: 12

下面对重点的插件模块分别进行分析。

1、bean模块

bean模块主要完成对phone进程的注入,监听本地10023端口,获取手机号码、imsi、imei、apn、联网等信息,并实现短信发送与拦截和联网方式的控制。 其首先释放可执行模块whitebean和带注入的libblackbean.so、redbean.dex.jar,然后依次执行以下命令完成注入:

  • a. whitebean –check libblackbean.so 检测运行环境,这里主要检查android::AndroidRuntime::mJavaVM和android::AndroidRuntime::getRuntime的获取。
  • b. whitebean com.android.phone libblackbean.so readbean.dex.jar cache Release /data/usr/server.log 其将libblackbean.so和readbean.dex.jar注入到phone进程中,并执行com.android.phone.os.Program类。 完成后删除自身。

在注入完成后,会监听10023端口接受请求,此时由于具备Phone进程权限,所以可以进行短信拦截发送,APN网络管理及获取手机号码、数据连接等相关信息。 8 9

2、honeybee模块

honeybee模块主要会记录运行日志信息,并以AES加密形式存放至/data/usr/honey文件,并且上传至远程服务器http://slasty.hada1billi.info/honeycomb/ums/postEvent。 10

honey文件的解密结果如下所示: 11

3、sun模块

sun模块主要提供网络连接功能,并与远程服务器建立Heartbeat连接,其连接url为http://ubaj.tndmnsha.com/throne。

五、总结

PoisonCake是一个非常完善的后门程序,其实现具备良好的架构特点和易于可扩展性,其在运行过程中会迅速删除自身释放的模块,所有在手机上存放的文件均为加密形态。其执行较为隐蔽,并且难以被发现和查杀。

用户可以执行”ps dm”命令查看是否存在恶意代码进程,或者检查是否存在/data/.3q/dm、/data/usr目录来判断是否感染PoisonCake木马。

转载请注明来源:http://blog.avlyun.com/?p=1932

文章分享地址:
微信二维码

典型移动恶意代码编年史第二期(更新至2014年11月)

AVL移动安全团队之前发布一期《Android典型恶意代码编年史》,主要梳理总结了近几年Android平台恶意代码发展大事件,以及从海量恶意代码库中筛选出来的典型恶意代码。随着移动恶意代码数量的爆发式增长,本期将典型移动恶意代码内容选取时间更新到2014年11月,同时也增加了iOS平台的部分典型恶意代码及大事件。

通过分析各主流平台上典型移动恶意代码的发展特点,我们可以观察到移动恶意代码的一些规律和趋势,以期望能帮助移动安全厂商建立更为强大的移动恶意代码对抗体系。

以下按照时间顺序再次梳理近年来移动安全大事件和典型移动恶意代码。

典型移动恶意代码编年史第二期

(更新至2014年11月)

    2007

  • 1月

    Apple发布第一版iOS操作系统,最初的名称为“iPhone Runs OS X”。

  • 6月

    Apple发布iOS 1.0。

  • 7月

    针对iOS 1.0的越狱出现。

  • 11月

    Google公布了基于Linux平台的开源智能手机操作系统Android。

  • 2008

  • 3月

    Cydia第一版本发布。

  • 8月

    Apple发布iPhone 3G,iOS 2.0,App Store。

  • 9月

    Google发布Android 1.0。

  • 11月

    针对第一台Android手机HTC G1的root出现。

  • 2009

  • 11月

    Worm/IPhoneOS.Ikee.a
    首个iOS蠕虫,通过越狱后ssh服务默认密码传播。

  • 2010

  • 6月

    Apple发布iPhone 4以及iOS 4.0,此时iPhone OS X正式改名为iOS。

  • 7月

    美国国会图书馆正式认可 iOS 越狱的合法性。

  • 8月

    Trojan/Android.FakePlayer.a[pay]
    公认首个Android木马,后台发送扣费短信。

  • 12月

    Trojan/Android.Geinimi.a[prv,rmt]
    首个加密混淆远控木马。

  • 2011

  • 2月

    Trojan/Android.Adrd.a[rmt]
    传播广泛的远控木马。

  • 5月

    Tool/Android.Rooter.a[sys]
    首个Android通用提权工具。

  • 6月

    Trojan/Android.Keji.a[pay]
    变种较多的典型吸费木马。

  • 7月

    Trojan/Android.KungFu.a[rmt]
    技术纵深方向经典木马。
    Trojan/Android.Zbot.a[rmt,bkd]
    跨平台经典银行木马Zeus的安卓版本。

  • 9月

    Trojan/Android.NetiSend.a[prv]
    首个预装在ROM中的木马。
    Trojan/Android.Spitmo.a[prv]
    PC病毒的衍生,攻击网银。
    Trojan/Android.FakeInst.b[pay,fra]
    数量最多,变异最快,并在后台吸费与静默下载等。

  • 10月

    Tool/Android.DroidSheep.a[prv]
    劫持社交会话信息。

  • 12月

    Carrier IQ内核级间谍软件被曝光。
    全球首款主动防御安全软件LBE上线,并与安天AVL反病毒引擎达成战略合作。

  • 2012

  • 2月

    Google开始注重Android框架层的安全性增强,宣布了名为Bouncer的项目对Google Play的软件进行动态沙盒分析。
    国内首个应用加固厂商上线。

  • 4月

    Trojan/Android.UpdtKiller.a[pay,rmt,sys]
    首个对抗安全软件的木马。

  • 5月

    Trojan/Android.Stiniter.a[prv,rmt]
    首个利用elf文件在linux层安装的木马。
    Tool/Android.SMBCheck.a[sys]
    攻击含SMB漏洞的PC。
    Tool/Android.ZimAnti.a[sys]
    网络扫描渗透工具。

  • 6月

    Google发布Android 4.1,之后逐步引入完整ASLR、PIE、SELinux、nosetuid、FORTIFY_SOURCE等安全机制。
    Trojan/Android.Nisev.a[rmt,bkd]
    挂马传播,用作代理。

  • 7月

    Trojan/IPhoneOS.FindAndCall.a
    AppStore中首次出现木马。

  • 8月

    Trojan/Android.SmsZombie.a[prv,rmt,sys]
    传播广泛的短信僵尸木马。

  • 10月

    Tool/Android.Webkey.a[prv,rmt]
    手机web服务器工具。

  • 11月

    Android惊现短信欺诈漏洞,涉及所有版本。
    RiskWare/Android.zipbomb.a[sys]
    10层嵌套压缩炸弹。
    Trojan/Android.smishing.a[fra,rmt]
    利用安卓系统短信欺诈漏洞。

  • 2013

  • 1月

    Trojan/Android.Tascudap.a[prv,rmt]
    DDOS肉鸡,上传短信和号码。

  • 2月

    越狱工具evasi0n发布v1.0版本。
    Trojan/Android.Ssucl.a[sys,bkd]
    入侵PC,控制麦克风。
    Tool/Android.UsbCleaver.a[prv]
    攻击PC的密码。

  • 5月

    Trojan/Android.Faketaobao.a[prv]
    2014年315晚会曝光二维码传播短信转发盗取支付信息木马。
    国内外多个商业应用加固方案保护方案陆续上线。

  • 6月

    Trojan/Android.Obad.a[rmt,prv,bkd]
    史上“最强”木马。
    Trojan/IPhoneOS.AdThief.a
    通过替换广告推广ID攫取收益。

  • 7月

    Bluebox Security爆出MasterKey漏洞。

  • 8月

    Trojan/Android.MasterKey.a[sys]
    影响广泛,数量巨大且利用Masterkey漏洞的木马。

  • 9月

    WebView的js2java漏洞爆发。

  • 10月

    Trojan/Android.Hesperbot.a[rmt,prv,bkd]
    与PC病毒合作盗取支付帐号信息。

  • 2014

  • 1月

    Trojan/Android.Oldboot.a[rmt,pay,bkd]
    首个bootkit木马。

  • 2月

    安天AVL手机反病毒引擎获AV-TEST移动安全年度大奖。
    Trojan/Android.Torec.a[prv,rmt]
    Tor匿名网络木马。

  • 3月

    央视315晚会曝光手机预装木马黑产链以及二维码传播短信。
    Trojan/Android.ssjs.a[rmt,pay,bkd]
    JavaScript脚本远控木马。
    Trojan/Android.Coinkrypt.a[exp]
    僵尸网络“挖矿”木马。

  • 4月

    OpenSSL的Heartbleed漏洞曝光。
    Trojan/IPhoneOS.Unflod.a
    盗取Apple ID和密码。
    Trojan/Android.bjxsms.a[exp,spr]
    首个类蠕虫,并通过短信自动传播。

  • 5月

    Trojan/Android.banksteal.a[prv]
    首个公开的利用商业加固木马,伪造微信窃取银行账户。

  • 6月

    Trojan/Android.simplelock.a[rog,sys]
    加密锁屏勒索木马。
    Trojan/Android.Gandspy.a[prv]
    手机web服务器木马。

    安天AVL移动安全团队首次在公开会议上介绍“壳”的命名。
    首次中国团队盘古发布针对iOS 7.1越狱工具。

  • 7月

    Bluebox Security爆出FakeID漏洞。

  • 8月

    七夕节国内大范围爆发“XX神器”短信传播木马。

  • 9月

    Trojan/IPhoneOS.AppBuyer.a
    盗取Apple ID和密码,模拟iTunes协议从App Store购买软件实现“软件推广”。

  • 11月

    Trojan/IPhoneOS.WireLurker.a
    PC和Mac为宿主感染iOS。
    Fireeye曝光iOS Masque Attack漏洞。
    Trojan/Android.Luahc.a[spr]
    黑暗潜伏者木马,包含多个模块,比如检测漏洞并提权,下载恶意模块,云端远程控制,后门程序等。

AVL移动安全团队专注于移动互联网安全技术研究及反病毒引擎研发,提供强大的移动安全解决方案。欢迎关注我们的微信公众号AVLTeam,我们会定期发布一些移动安全相关资讯,希望能够对您有所帮助。

转载请注明来源:http://blog.avlyun.com/?p=1813

文章分享地址:
微信二维码

警惕恶意代码传播者盯上QQ群

Post by Gandalf

概述

AVL移动安全团队近期收到部分网友反馈一些QQ群里面出现一些“安卓系统加速器.apk”、“11月银行清单资料.apk”、“聚会相册.apk”等可疑文件,经分析后发现均为手机恶意木马软件。黑产人员将这些恶意软件伪装成为重要资料、系统工具等诱导用户下载安装,最终是为了窃取用户手机中的重隐私信息,牟取经济利益等。

随着移动互联网发展,使用手机QQ的用户越来越多,那么用户很容易在使用手机QQ群时被诱导安装恶意软件,造成不必要的损失。据粗略估计最近一个星期已有大批QQ用户因此中招。

QQ群推广恶意软件实例分析

恶意软件传播者疯狂加QQ群并上传恶意软件到“群共享”,诱骗网友下载安装。以下是我们选取的部分在QQ群推广的恶意软件实例。

“安卓系统加速器.apk”

该恶意软件伪装成系统工具被人直接上传至某Android安全讨论群。该用户进群后立即上传恶意软件,目的性表现的非常明显。 11 分析发现该木马实际上就是之前国内大范围爆发的“XX神器”的恶意子包。“XX神器”主包负责短信恶意传播,而子包部分则负责拦截窃取短信、邮箱上传隐私、获取淘宝信息等。(“XX神器”分析详情请参见xxshenqi木马分析报告) 下图是该软件执行短信拦截行为的代码: 44 对比之前“XX神器”的恶意样本,该木马包结构与其包结构完全相同。对比两者反编译的smali代码,其主要差异只在于手机号码不同,使用寄存器都完全一样,因此判断该恶意软件是经反编译后修改手机号码再进行了重打包。由此可见恶意代码开发成本其实也相当之低。 99

“11月银行清单资料.apk”

该恶意软件伪装成银行资料,被人投放进某移动安全用户群的“群共享”。 22 经分析发现该木马属于短信拦截马,安装运行后删除图标,伪装成系统服务,拦截所有的短信,并将接收到的短信转发到指定号码。 下图代码即是短信拦截部分:55

“聚会相册.apk”

该恶意软件伪装成聚会相册,被人投放至某高校计算机系硕士群。 33 该恶意软件运行时会安装恶意子包,诱导用户激活设备管理器,转发用户收件箱至指定手机号,给用户带来隐私泄露和资费消耗。 该样本发送短信、拦截屏蔽短信功能都在恶意子包中: 6677

总结

这三个软件均是属于短信拦截、隐私窃取类型的木马,均能被AVL Pro检出,详细检出信息如下: 88

利用QQ群传播PC端恶意木马由来已久,但传播手机木马则相对少见。随着手机上网聊天的人越来越多,加上恶意代码开发成本越来越低,这类传播行为肯定会愈演愈烈。恶意传播者疯狂在各类QQ群中上传此类手机木马软件,诱导网友安装使用,从而达到其不法目的。( “短信拦截马黑产揭露”揭露了从木马开发到恶意传播至非法获利的整个过程。)

安全建议

对于安全厂商而言,抑制恶意代码的传播需要控制其传播渠道。比如这类通过社交聊天群恶意传播木马的情况,则需要运营社交聊天工具的公司加强对共享上传文件的检测。

对于个人用户而言,则需要注意保持良好的上网习惯,遇到可疑文件,切勿随意下载安装使用。同时用户可以使用AVL Pro对此类木马进行检测。