Monthly Archives: 五月 2016

Macbeth病毒植入流行社交应用,上亿用户或受影响

前言

        Macbeth,又名麦克白,

        莎士比亚四大悲剧中《麦克白》主人公,

        作为国王表弟、帝国将军,为一己私利,弑兄篡位,

        为巩固统治,害死亲友,屠杀人民,众叛亲离,人神共愤,

        后被原国王之子和英格兰援军围攻,人首分离,可悲可叹。

        你以为这只发生在小说中?在黑产恶意势力与安全防护阵营这场无硝烟的战争中,这种“篡位谋利”的事情可是屡见不鲜呢~

        最近,安天AVL移动安全和猎豹移动安全实验室共同截获病毒Macbeth,一种篡改国际知名社交应用并植入恶意模块的病毒。该病毒篡夺正常应用的手机入口,运行后立即加载恶意核心模块,窃取用户银行卡余额信息、下载提权模块私自获取用户设备Root权限并通过远程控制指令控制感染设备实现一系列恶意行为,如上传地理位置等隐私信息、获取并上传所有短信和联系人信息、私自下载安装或卸载指定应用等,造成用户严重的隐私泄露和资费损耗。

        我们最早在2016年2月初开始关注该类恶意程序。目前被植入该类恶意模块的应用包含俄国比较流行的“Одноклассники”,“Write SMS by voice ”,“ДругВокруг”等知名应用。

恶意程序运行流程

Macbeth1

        1.Macbeth病毒启动后联网下载核心功能模块并动态加载其中的恶意功能。

        2.核心模块运行时将后台私自向“sberbank”,“qiwi”,“alfabank”等银行发送查询受害用户相关银行卡余额的短信,并将拦截的银行回执短信上传到攻击者服务器。

        3.核心模块运行时会检查用户手机是否有Root权限,若不包含Root权限,会后台下载提权子模块加载运行并对受害用户手机进行提权操作。

        4.核心模块当中包含大量指令的解析功能,通过联网获取相关的远程控制指令,会执行相应的远程控制操作,如上传IMEI号、拦截并上传指定短信、强制锁定屏幕等。

Step1伴随宿主应用运行

        Macbeth病毒被植入到正常的应用中,随着被植入的宿主应用运行。目前我们观察到Macbeth病毒的启动方式分为两种:

        1.在正常应用的入口中启动。

        2.篡改正常程序入口后,从Macbeth病毒程序模块中去启动正常的应用。

        该病毒主要有以下三种植入的代码包结构:

图2

Step2核心模块云端下载

        Macbeth病毒启动后,联网获取核心功能模块DEX_API.apk,动态调用核心功能模块,并将下载的核心模块存放在了隐蔽性强的data/data/<packagename>/cache目录下。通过这种方式Macbeth病毒成功躲开了部分杀毒软件的检测。

Macbeth5

Macbeth6

Step3核心模块相关恶意行为解析

通过短信窃取银行类隐私信息

        在核心功能模块运行时,Macbeth病毒会分别向如下表所示的银行服务号发送相应的短信内容查询用户关联银行卡的余额的信息。当接收到银行的回执短信时,Macbeth病毒会将拦截的短信号码和内容存储到本地创建的数据CoonDB.db中的”local_task”表中,并联网将其上传到攻击者的服务器。

        银行和短信相关命令如下表:

图——表

Macbeth7

图7

类Framaroot模块给手机提权

        核心功能模块运行时,Macbeth病毒会通过联网下载提权模块libcoon.so,通过类FramaRoot模块利用Android系统漏洞对用户设备进行提权。

Macbeth9

Macbeth10

远程控制加密文件名、锁定手机屏幕

        核心功能模块联网获取到指令信息后,Macbeth病毒会根据指令信息“ENCRYPT_FILES”将远程控制指令中指定路径的文件名进行改名加密,加密方式为:Base64加密+拼接”coon#”前缀。

Macbeth11

        指令“LOCK_DEVICE”可以通过自定义浏览器全屏置顶访问指令当中设定的LockUrl来锁定受害用户的手机屏幕。

Macbeth12

        在核心模块当中,Macbeth病毒对大量的远程控制指令进行了设置,并实现了相应的远程控制功能,主要的远程控制指令信息及相关的功能如附录4所示。当前分析样本远程控制指令服务器IP为:190.#.#.106,端口号为2667。

Macbeth13

安全建议

        正常应用被恶意篡改并植入恶意模块的现象层出不穷,我们建议应用开发团队注重自身产品保护,采用加固技术对代码进行混淆、加壳等,避免被攻击者恶意篡改和重打包,造成品牌以及用户的严重损失。

        针对Macbeth系列病毒,AVL Pro和猎豹安全大师已经实现全面查杀。安天AVL移动安全和猎豹移动安全实验室提醒您:

        1.请保持良好的上网习惯,不要在非官方网站或者不知名应用市场下载任何应用;

        2.在有绑定银行卡行为的手机上,强烈建议您安装杀毒软件,并养成良好的病毒扫描习惯;

        3.尽量不要Root手机,已Root的手机用户请务必谨慎,不要轻易授予Root权限给您不信任的软件。

        2014年,猎豹与安天AVL移动安全团队达成引擎战略合作。安天AVL移动安全作为移动安全领域的顶级安全能力供应商,除了为猎豹提供安全服务外,还与国内外众多知名厂商达成深度安全合作,为小米、阿里云、OPPO、努比亚、步步高、LBE、安卓清理大师,Trustlook、AMC等合作伙伴提供移动反恶意代码能力,为全球过亿终端用户保驾护航。

附录1

相关的样本hash:

0DAEEB0310C71ED6D5A4ADF0642B12D0

AE8CAFB885481DB081C48F8ECB2F1A76

CB0361A7DEC42A8FF6ED75F4A0D00E6E

56AA9B24F3FC7F1D4BB0250BD97BF93B

39FBD44B12EAB125EA25974267BAB0C3

1C70D010844A096E6A020216DD6313F2

5AE10CDA75F99ED518F983856237E90D

6FE16A69125A8E7634F6432DE42351F6

20EE0CDF41B1C0CBA23B9918B36E95EE

93B97E17C3245981400838E93F30D412

AE8CAFB885481DB081C48F8ECB2F1A76

AE90826BF66079C2FC17735FE87908F0

CD13C34142423D510C2FE768542038C3

BEA42400B0BC152F9ED8ED2FD3C44E63

D1D431406934B566BF6CE852A3819092

37BB9E317E2A7083A2A1CFE16FEB44DB

AD03A4C5B8A97650633803F364AB6F02

B04D2A0CDDB0B32C738408D6448100EA

F6F0A892C6E32AC8D8F266B7A178971D

CBF0B4DE0511A4A6717512EC5A4EC7D9

1C495EAA71DD17FC4D39DB1E362BD72D

5DA9FA53B20B056F936CF506A5272613

53E016CAEAF91B522D4C7EF44F972C18

CBAE891731693D2B055CE7C364F34757

FE963B4EBBC83EC655D57451F7CF5561

0DAEEB0310C71ED6D5A4ADF0642B12D0

附录2

相关App的包名信息:

com.sand.device

com.jb.gosms

com.waplog.social

drug.vokrug

ru.ok.android

com.baviux.voicechanger

com.vkontakte.android

com.igg.android.linkmessenger

org.telegram.messenger

jp.naver.line.android

ru.vsms

com.skype.raider

com.jb.zerosms

com.uc.browser.en

Android Security Update

com.Macbeth.api3

附录3

相关的C&C信息:

hxxp://appstools[.]ru/DEX_LIB.apk

hxxp://appstools[.]ru/Macbethlib.so

hxxp://185.61[.]149[.]201/cryptocomponent.1

hxxp://190.123[.]45[.]106/DEX_LIB.apk

hxxp://190.123[.]45[.]106:2667

附录4

主要远程控制指令及相关的功能说明。

文件操作:

图1-1

隐私窃取:

图2-2

获取指令打印log日志:

图3-3

资费扣取:

图4-4

功能异常:

图5-5

其它指令:

图6-6

转载请注明来源:http://blog.avlsec.com/?p=3237

微信二维码