Monthly Archives: 八月 2016

色情应用暗藏杀机,宅男福利竟成“灾难降临”

        8月14日凌晨,王宝强通过社交媒体发布离婚声明,消息一出即刻引爆社交圈。一夜之间,部分恶意开发者立即抓住机会,利用此次事件散播“xx抓奸视频”“宋x马x录像”等恶意链接,并悄然传播,极大地威胁着“吃瓜群众”的隐私和财产安全。

        通过伪装成“色情视频”“美女写真”等所谓宅男福利以进行恶意传播的现象,在PC端已司空见惯。 按理说用户对这类老套的手法早就有较强的防范意识,但据安天AVL移动安全团队和猎豹移动安全实验室最新捕获的一个病毒发现,这种手法虽然老套,但是恶意攻击效果之显著,令人咋舌。

        近期,安天AVL移动安全团队和猎豹移动安全实验室捕获一款名为SexTrap的病毒,该病毒潜伏在色情应用中,一旦用户下载并安装该色情应用,灾难将降临至用户手机中。SexTrap病毒一旦运行,将立即加载恶意子包私自提权以获取Root权限,利用手机最高权限将下载的核心推送模块推送到系统目录下并锁定,使用户难以察觉和卸载;然后私自联网获取推送数据,进一步向用户手机系统目录推送包含恶意扣费模块的恶意应用,并通过远程控制指令启动运行此类应用,给用户造成极大经济损失。

哪个省份的用户最容易中招?

        SexTrap病毒自6月捕获至今,在国内大部分地区广泛传播。截止目前各个省份的感染情况如下图所示。从图中可以看出,广东省是病毒感染人数最多的省份,山东省紧跟其后,随后是北京市、河北省以及河南省。

1

病毒详细分析

病毒运行流程

2

SexTrap病毒运行流程可以分为三个部分:

Part1通过母体程序加载调用恶意子包

        携带SexTrap病毒的母体程序运行时加载libMwzgrqfvuo.so(每个母体内的so文件名称不同,以此为例)文件,通过so文件调用资源文件中名为“xme.png”实为apk程序的恶意子包。该程序通过类加载器反射调用恶意子包中com.dex.kit.MainClass类的startAction方法来启动恶意子包。

Part2私自对用户手机提权,联网下载核心推送模块

a) 恶意子包启动时联网上传用户手机型号等信息获取Root方案和下载地址,下载相应的提权文件并解密,利用Android漏洞对用户手机进行提权。

b) 联网获取下载SexTrap病毒核心推送模块的下载地址和指令信息。该恶意程序通过二次联网下载核心推送模块,并将其静默安装并推送到系统目录下,最后执行网络指令启动该模块。

c) 恶意子包读取并解析母体程序资源文件夹中的mcg.bak文件,获取恶意程序的下载地址和启动指令,联网下载恶意程序然后将其推送到系统目录下并通过指令启动。该恶意应用同样具有推送的功能。

Part3下载、安装、运行、推送应用

        核心推送模块启动后会不断联网获取推送数据并下载推送的apk,同时利用Root权限将其推送到系统目录下,然后静默安装,最后通过网络指令使用将其启动,对用户造成极大的资费损耗。

1.加载调用恶意子包

        SexTrap病毒运行时加载so文件,加载资源文件中的恶意子包,通过类加载器反射调用com.dex.kit.MainClass类的startAction方法来启动恶意子包。

3

        so文件反射调用恶意子包。

4

2.私自获取Root权限

        恶意子包运行时会上传用户的手机信息,根据手机信息下载多种 Root方案包括“858”、“778”、“611”、“841”、“52”,根据Root方案对应的提权文件对用户手机进行提权,提权成功后删除提权文件。

        下载提权文件网络截图:

5

        提权后释放的工具文件:

6

3.下载安装核心模块

        恶意子包在本地解密并获取核心模块的下载地址,进行下载。

7

        上图是获取核心模块下载地址的抓包截图。获取的数据主要包含字段“sd”:通过am启动KitService服务来远程启动核心模块、“dl”:核心模块下载地址、“pn”:核心模块包名。

8

        静默安装核心模块并通过上面获取的网络指令启动,同时将其推送到系统目录中并锁定。

9

        同时恶意子包还会读取母体程序资源文件mcg.bak,下载同类推送恶意程序。下载后的文件是一个zip文件,其中包含要安装的应用和启动指令。

10

11

        cfg文件中保存着远程服务器控制安装应用和启动应用的指令。

12

        恶意子包下载的文件都会保存SD卡隐藏目录.work中。

13

4.推送恶意扣费应用

        SexTrap病毒核心模块运行时会持续联网获取推送数据并保存在本地/data/data//shared_prefs/i_app_info.xml文件中。同时该病毒会将下载的恶意应用保存在SD卡Android/data/cache/tmp目录中,这些恶意应用被安装运行后会被删除。

        下图为部分联网推送的数据信息:

14

        保存在i_app_info.xml中的推送数据具体字段说明如下。

15

代码图

        推送色情类的扣费App。

17

总结

        SexTrap病毒通过潜伏在色情应用中传播,方法较老套但是传播效果极佳。一方面,该病毒将恶意子包伪装成后缀为“.png”的文件,在安装完推广应用之后立即删除安装包文件,这一系列操作都是为了躲避杀软的查杀,隐蔽性极强。另一方面,该病毒为增加提权操作的成功率,会上传感染用户的设备信息,以获取针对性的Root方案和提权工具,攻击手段难以防范。从该病毒以及之前播报过的病毒可以看出,新出现的病毒大多隐蔽性极强,同时对Root的依赖性较高,安天AVL移动安全团队特此提醒广大用户尽量不要Root手机,一旦发现手机在不知情下被Root时,要警惕是否感染了病毒并立即安装杀毒软件对病毒进行查杀。

安全建议

        针对SexTrap系列病毒,AVL Inside系列集成合作方产品和猎豹专杀工具已经实现全面查杀。安天AVL移动安全和猎豹移动安全实验室提醒您:

        1.请使用绿色、健康的应用,并保持良好的上网习惯,不要在非官方网站或者不知名应用市场下载任何应用;

        2.谨慎点击软件内推送的应用,不安装来源不清楚的应用;

        3.不要轻易授权给不信任的软件Root权限;

        4.如果您已经中了类似病毒,建议您使用Root工具将设备进行Root,使用杀毒软件及时查杀病毒。查杀完成后,如您不再使用Root,请务必使用Root工具取消Root,避免Root权限被滥用带来的设备安全问题。

        安天AVL移动安全专注于移动互联网安全技术研究及反病毒引擎研发,为合作伙伴提供强大的移动安全解决方案。2014年,猎豹与安天AVL移动安全团队达成引擎战略合作。

        AVL Inside以全球最佳移动反病毒引擎为核心,专注于为企业和厂商伙伴提供针对性的移动终端威胁防护解决方案,如病毒检测、金融安全防护、上网安全防护等安全能力输出。目前已与众多知名厂商达成战略合作,为猎豹、小米MIUI、阿里云YunOS、OPPO、努比亚、步步高、LBE、安卓清理大师、AMC等合作伙伴提供移动反恶意代码能力,为全球过亿终端用户保驾护航。

附录

C&C信息:

hxxp://www[.]zhnoblift[.]com:8888/Adweb/client/

hxxp://file[.]zhcicheng[.]com:9900/dapk/dabaotool/upload/

hxxp://www[.]sei88888[.]com.cn:8888/AdWeb/client/

hxxp:// www[.]jd2919[.]com:8421

hxxp:// www.py042.com

hxxp:// www.wfpho.com

转载请注明来源:http://blog.avlsec.com/?p=3661

更多技术文章,请关注AVL Team官方微信号

AVL team二维码

Dark Mobile Bank之移动银行应用仿冒攻击威胁分析报告

一、背景

        据“第十五次全国信息网络安全状况暨计算机和移动终端病毒疫情调查”调查结果显示,2015年移动终端的病毒感染比例为50.46%,相对于2014年增长了18.96%,移动终端病毒感染率涨幅较大,其主要原因在于不法分子瞄准手机支付用户群体,利用钓鱼网站、仿冒移动应用、移动互联网恶意程序、伪基站等多种手段,实施跨平台的欺诈和攻击。以下,安天AVL移动安全团队(以下简称AVL Team)将以银行用户为对象,针对仿冒钓鱼类攻击进行详尽的威胁分析并提出可采取的防范策略。

二、威胁分析

        为了提高欺诈和钓鱼的成功率,达到诱骗用户的攻击目的,攻击者采用了大量的各类伪装和仿冒技术,当前针对银行用户的仿冒攻击模式主要分为以下四种:钓鱼网站和短信、仿冒官方应用图标、仿冒官方应用程序名、仿冒官方应用界面

1.钓鱼网站和短信

        针对银行用户,攻击者会在攻击武器化阶段准备大量类似或相仿的域名和网站界面,在攻击投放阶段通过钓鱼短信进行攻击,从而达到欺诈银行用户的目的,并通过仿冒银行网站来窃取用户银行卡账号及密码等相关信息,同时诱导银行用户进行虚拟付款验证,最终通过获得用户手机验证码来窃取用户资金。攻击流程如下图所示:

1

a. 钓鱼网站

        据AVL Insight移动威胁情报平台数据统计,银行相关的钓鱼网站数据截止到2016年8月总计为941188,TOP10的仿冒对象按下图所示:

        单位:个

2 (2)

        从图中可以看出,受影响程度排名靠前的均为国内知名度高、用户范围广的大型银行。

        下图为建设银行、招商银行和工商银行的手机钓鱼网站界面:

3

        在威胁攻击武器化阶段,钓鱼网站作为主要的攻击工具,也早已产业化,下图为AVL Team与钓鱼网站卖家的对话:

4

b. 钓鱼短信

        短信是银行、金融、第三方支付、交易系统等与用户进行信息沟通的重要介质,同时也是攻击者在欺诈和攻击渗透环节使用的重要工具。钓鱼短信通常包含多种信息,例如:短信的来源号码,短信中包含的称呼内容,短信中的文字语义内容和短信中所包含的URL等。 伪基站作为投放的工具,被广泛应用,工具化的伪基站不仅可以自定义短信内容,还可以自定义显示号码、发送时间等具有伪装性特点的信息。

        下图为伪基站系统示例:

5

        查询AVL Insight移动威胁情报平台中TTP涉及银行类数据源,并参考银行类伪基站短信记录信息,总结出仿冒银行短信主要为以下几类:

6

c. 行为模式及攻击实例

        综上所述,针对银行用户的攻击,钓鱼短信和仿冒银行URL等行为,一般会通过仿冒银行网站来窃取用户银行卡账号和密码等相关信息,并且诱导银行用户进行虚拟付款验证,从而获得用户手机验证码来窃取用户资金。其主要的攻击行为模式为以下三个过程:

7

        下图为攻击的截图示例:

8

        正常情况下,如果不泄漏支付验证码是可以避免资金被窃取的,但值得注意的是,如果用户的银行账号、银行账号密码、银行预留手机号和姓名等重要信息被泄漏,也可能会被恶意攻击者用来定向攻击:

1. 定向投放木马(相册、请帖等拦截马)

2. 电信诈骗

        同时我们还发现,攻击者获得银行用户账户资料后,还会进行出售倒卖,下图为某钓鱼网站域名(wap.ybckcb.cc)所有者的QQ,该QQ从2010年就开始进行银行卡账户资料倒卖活动。

9

2.仿冒官方应用图标

        通过AVL Insight移动威胁情报平台搜索含“银行”的应用名的图标可以发现,截止到2016年8月针对银行的仿冒图标多达817个。仿冒图标数量top10的程序名如下:

        单位:个

10

        对特定银行应用图标仿冒情况分析如下:

11

3.仿冒官方应用程序名

        根据AVL Insight移动威胁情报平台应用数据,检索仿冒“银行”程序名的恶意应用,发现近7天感染用户405人。仿冒的银行应用和恶意代码TOP10如下:

12

13 (2)

4.仿冒官方应用界面

        据AVL Team统计,针对银行用户的攻击有39个恶意家族和84个变种。

        下图为2016年1月至7月受感染设备量:

14

        下图为2016年1月至7月受感染设备地域分布:

15

        仿冒银行类木马Fakewf.a最早在2012年3月8日发现,其仿冒的是Wells Fargo银行的web界面。后续相继出现的木马emial、FakeBank、Googlessms、kaka、Perkel 、SmsZombie 、E4Aspy、Sberik、Slocker这几大家族及其变种都存在仿冒银行行为(主要仿冒登录界面和支付界面),有些甚至直接仿冒银行相关应用。

(1)通过仿冒应用登陆界面窃取银行账户数据

        例如Trojan/Android.E4Aspy.c[prv,fra]仿冒银行登录界面,窃取用户账号相关信息,包括: 银行账号、银行账号密码、银行预留手机号、身份证号码、开户行名称、支付宝账号和支付宝密码等。

        不仅如此,该木马还会窃取用户手机隐私信息,包括:手机型号、通话记录、收件箱短信、已发送短信、未阅读短信、已阅读短信、通讯录、GPS检测、短信箱内容、通话记录、通讯录、系统版本、本机型号、当前所在纬度和当前所在经度等。

(2)通过劫持登陆界面窃取银行账户数据

        这类恶意应用通常伪装成大众常见的应用,诱导用户安装,运行后隐藏图标,在后台监听银行应用进程,当用户在进行登陆操作时,恶意应用会通过顶层窗口覆盖银行应用登陆窗口的方式来劫持登陆,当用户在攻击者伪造的银行登陆界面登陆时,银行账户数据就会被攻击者窃取。

16

17

        常见的伪装应用名有:Adobe Flash Palyer、Flash Player、MMS Messaging、WhatsApp。

18

        相对于单纯的仿冒银行应用界面来讲,通过劫持登陆窗口的方式目的性更强,主要通过攻击银行应用来窃取银行账户数据,在界面仿冒方面多以HTML来布局,这种攻击方式更加灵活隐蔽(适用于:安卓系统版本低于5.0)。

        下图为攻击的截图示例:

19

三、威胁趋势

        当前国内针对银行应用的仿冒多以图标、应用名和界面仿冒为主,国外则多以界面劫持为主,其TTP攻击模式(TTP即Tactic、Technique和Procedure,包括攻击者的行为、利用的资源和目标受害者的信息等,主要通过标准语言来多细节地描述攻击者的行为)如下:

a. 图标、应用名和界面仿冒

        该类恶意行为通常都会根据远程服务器指令控制下载恶意子包,从图标、应用名和界面来仿冒银行软件。

b. 假冒银行应用

        该类恶意行为通常从图标、界面来仿冒银行应用,并通过钓鱼形式窃取用户账户密码等信息通过网络上传给攻击者。

c. 界面劫持

        该类恶意行为通常会根据远程服务器指令控制劫持指定银行的登录或者注册界面,弹出假冒的钓鱼页面用来窃取用户的账户密码等信息,并通过网络上传给攻击者。

        通过统计近两个月的受威胁用户信息,可以发现盗取隐私最多的邮件TOP10如下图,TOP1的邮箱窃取了4万多条的隐私数据,占了将近总量的一半;另外这些受害者感染的基本都属于拦截马emial家族传播,传播最广泛的emial.bw变种有7万多个受威胁用户信息。

20

21 (2)

        另外统计受威胁用户地域分布如下,以北京、湖北、广东为最:

22 (2)

        此外,银行类的潜在受威胁用户数量情况如下:

23

        通过对银行类的潜在受威胁用户被泄露的隐私数据进行分析可知,至少有50家不同银行的用户都遭受过“短信拦截木马”威胁的攻击,其中除了商业银行以外,还包含了各个地区的地方银行;除此之外使用银联、支付宝、微信支付和京东支付的用户也存在信息被泄露的风险。

四、结语

        随着黑产经济能力积累和技术能力的增强,银行的基础设施和业务主体遭受攻击的风险将会大大增加。目前在世界范围也都出现了非常广泛的利用移动恶意代码对金融行业进行攻击的现象,当然境内和境外还存在较大的环境差异性。中国是一个有7亿网民的互联网大国,其中多半使用智能终端,哪怕是非常小的比例用户遭到感染,也会形成一个很大的感染数量。并且攻击者多将矛头指向国内用户基数高、知名度大的中大型银行,这就导致大量的受害人遭受财产损失,并可能连带引发关联的社会问题。为了避免更多的受害用户遭受仿冒钓鱼类威胁攻击以及将受害用户的损失降到最低,通常我们可以采用的行动策略主要有:

1. 通过联合职能部门和运营商,增强对威胁投放渠道的监测和阻断;通过和安全厂商紧密协作,形成有效合理的处置手段,避免盲目处置。

2. 银行、金融相关公司增强对此类安全威胁的重视,结合威胁情报,加强联合防御和处置。

3. 通过对攻击者的进一步回溯和分析,对攻击链路上不同环节的攻击者进行有效的打击和追溯。

        本文所使用数据均来自AVL Insight移动威胁情报平台。

        AVL Insight是国内首个综合性移动威胁情报服务平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供应对移动威胁的预警和处置策略。该平台旨在提高银行、政府等大型机构对威胁事件的感知、预警、预防、取证、响应和处置能力,以达到降低IT安全成本,提高资产和信息安全保障的最终目的。

转载请注明来源:http://blog.avlsec.com/?p=3581

更多技术文章,请关注AVL Team官方微信号

微信二维码

欢迎关注AVL Insight官方微信号阅读更多威胁情报文章

图片7