Monthly Archives: 十月 2016

恶意软件伪装“正规军”,撕开Booster Cleaner“画皮”下的真相

  经常使用手机浏览器阅读小说的用户都知道,在浏览器页面经常会出现一些推广游戏应用、手机清理应用等应用推广型的弹窗广告。有时出于方便,我们也会选择直接点开这些弹窗广告进行应用下载。但这种行为并不安全,部分恶意应用会首先伪装成“正规军”诱导用户进行下载。一旦用户下载安装成功,该应用便大肆入侵用户手机,劫持浏览器进行仿冒应用的广告推送,甚至静默安装其它未知应用。

  近期安天移动安全威胁情报分析团队就捕获了一例新的恶意应用Booster Cleaner。该恶意应用伪装得十分隐蔽,它表面看起来是一款“清理手机内存”的应用,与其他手机管理软件并无区别。实际上在后台,它会劫持浏览器弹出指定网页来进行广告推送,引诱用户安装仿冒应用,并且在用户毫不知情的情况下静默安装各种未知应用,给用户带来极大的隐私泄露风险和巨大的资费消耗。

一、Booster Cleaner简介

Booster Cleaner基本信息

1_副本

二、Booster Cleaner详细分析

恶意应用运行流程图

2_副本_副本

Booster Cleaner运行流程

  Booster Cleaner是怎样一步步利用用户手机”胡作非为“的呢?简单来说,分为四步:劫持浏览器推送应用→私自提权解密→回传用户隐私→静默下载安装应用。

Step1.劫持浏览器推送应用

   Booster Cleaner利用某广告服务器上传设备信息,返回指定的url来获取推送广告的配置信息,如下图所示: 3_副本

  恶意应用在后台持续监控用户手机顶层窗口应用包名,当包名匹配到预设的包名时,便向劫持浏览器界面推送广告,诱导用户下载未知应用,推送间隔时间为1小时。 4_副本_副本 5_副本_副本

  据统计,目前很多常用的浏览器都被劫持了,具体如下表所示: 6_副本

Step2.私自提权解密

  当用户下载该应用后,该应用会通过Asysset.dex文件实现提权,该dex由asysup.so释放,具体步骤如下:

  (1)下载aice文件解密解压释放子包和提权文件。 7_副本 8_副本

  (2)通过解密png.ico释放提权工具和锁定文件工具,下图中r1—r4分别是四种root方案,利用了CVE-2012-6442、WooYun-2013-21778、CVE-2013-6282等漏洞来进行root提权。 9_副本

  (3)利用漏洞提权并执行脚本拷贝子包ice.apk到系统应用目录来提升子包权限。 10_副本 11_副本

Step3.回传用户隐私

  提权成功后,该应用会将提权结果信息和隐私信息上传至指定位置,同时,也会上传安装应用列表信息。 12_副本

  具体来说,它会上传以下数据: 13_副本

  安装应用列表信息会上传至指定位置,具体如下图代码所示:14_副本

Step4.静默下载安装应用

  子包ice.apk主要恶意行为是:向远程服务器获取未知应用下载地址,后台私自下载未知应用,静默安装。 15_副本

  解密数据保存在本地数据库,如下图: 16_副本

  后台通过查询数据库获取下载列表,下载推送的应用: 17_副本

  获取Root权限后,通过pm指令静默安装app: 18_副本

  通过分析,目前静默安装的应用多为仿冒应用,主要仿冒应用如下表所示: 19_副本

Booster Cleaner 恶意代码详解

  恶意代码植入模块结构如下图所示: 20_副本

三、攻击者追溯

域名

  该事件中涉及到了多个相关域名,通过AVL Insight情报聚合,我们发现恶意应用涉及的多个域名注册者名称多为Simon。21_副本 (数据来源:AVL Insight移动威胁情报平台)

主要传播途径

  Booster Cleaner主要在国外某些小型应用市场或者其他第三方应用市场传播,其中一些hash的来源地址如下:

  • add401.ufile.ucloud.com.cn/micfile/apk/6032bca0e75e4d149a6ec640221beb4e.apk
  • gt.rogsob.com/7/PhotoEditor012902.apk
  • silentdl.wenzhuotc.com/upload/app/apk/20160506163243/Flashlight03.apk
  • jpg.vademobi.com/apks/a03db38c-b0ff-4c01-8f43-51f8963d35f4.apk

  感染量较大的包名以及应用名如表格所示: 22_副本

感染用户分布

  通过AVL Insight平台监控,截止到2016年10月19日,已有4989例受害者信息;最近一个月,共有281例受害者信息,感染用户地区分布如下:23副本_副本 (数据来源:AVL Insight移动威胁情报平台)

  从图中可知,现阶段Booster Cleaner受害者多为国外用户,其中,以南亚和东南亚用户最多;从广告注册商方面来看,也是国外厂商,且广告商与应用存在密切的利益关系;从手法上来看,广告植入和运行手法都较为隐蔽,且进行了较为专业的加密处理,因此,很有可能是团伙作案。

  虽然,从目前来看,受害范围都在国外,但这种运作模式在国内也很常见,因此不排除部分战略技术向国内转移的可能。

四、总结

  Booster Cleaner 恶意应用伪装成正规的内存清理软件,诱导用户下载,当用户下载安装后,该应用开始运行并偷偷窃取用户隐私信息,同时通过劫持用户手机浏览器,不断地推送未知应用广告,激起用户的好奇心,诱导用户下载。不仅如此,Booster Cleaner还会在用户不知情的情况下,静默安装大量未知应用,持续地进行更深层次的恶意行为,手段隐蔽且成本较低,让人防不胜防。值得注意的是,该恶意应用与广告商之间存在密切的利益往来,且包含上传用户隐私、推送广告等常见的可获利恶意行为。联想最近国内发生的多起电信诈骗事件,事件中的受害者被不法分子利用个人隐私信息骗取信任,后续进行诈骗行为。该应用的恶意开发者后续也存在利用窃取的隐私信息对感染用户进行精准电信诈骗的潜在可能,给感染用户财产带来极大的安全隐患。

五、安全建议

  针对Booster Cleaner之类的恶意应用,安天移动安全威胁情报分析团队提醒您:

  • 请保持良好的上网习惯,不要在非官方网站或者不知名应用市场下载任何应用;
  • 谨慎点击安装浏览器弹窗广告推送的应用,不安装来源不清楚的应用;
  • 不要轻易授权给不信任的软件Root权限;
  • 如果您已经中了类似病毒,建议您使用Root工具将设备进行Root,使用杀毒软件及时查杀病毒。查杀完成后,如您不再使用Root,请务必使用Root工具取消Root,避免Root权限被滥用带来的设备安全问题。

  安天移动安全专注于移动互联网安全技术研究及反病毒引擎研发,为合作伙伴提供强大的移动安全解决方案,并通过自主研发推出全球首个综合性移动威胁情报平台AVL Insight。AVL Insight移动威胁情报平台主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供应对移动威胁的预警和处置策略,为客户移动终端安全保驾护航。

六、附IOC

hash

  • 7FBA76AB76D65476180371FD66DDD3EF
  • 5613C4C4FCA8F20669CAF58035C1F8A5
  • B7C354EEA5366783F6C0C5A8C46FABF2
  • AA03EC20A7AA03092818943DCCB03025
  • 1A4F8F66297437B55D8F3FFFDE12249D
  • D4D041563A21528F789D1DB95C819772
  • 4639AAB9A6FB6BF3F5DDFF47D04EB02E
  • 0B55D63F0B1A75F5E8A362D457E62A79

domin

  • http://api.zoomyads.com/zoomy-advert/inter/getHeartbeatInfo.shtml
  • http://cdn.6mailer.com:8080/jar/kk0512.png
  • http://54.179.132.156/zoomy-root-test/test/testapi
  • http://54.179.132.156/zoomy-root-test/test/uploadfile
  • http://zad.zadmobi.com/mic/pl
  • http://add401.ufile.ucloud.com.cn/micfile/apk/6032bca0e75e4d149a6ec640221beb4e.apk
  • http://gt.rogsob.com/7/PhotoEditor012902.apk
  • http://silentdl.wenzhuotc.com/upload/app/apk/20160506163243/Flashlight03.apk
  • http://jpg.vademobi.com/apks/a03db38c-b0ff-4c01-8f43-51f8963d35f4.apk

转载请注明来源:http://blog.avlsec.com/?p=3886

更多技术文章,请关注AVL Team官方微信号

AVL-team二维码

黑产上演《三体》剧情:蠕虫病毒入侵手机群发“钓鱼”短信

  我是这个世界的一个和平主义者,我首先收到信息是你们文明的幸运,警告你们:不要回答!不要回答!不要回答!!!” ———《三体》

  《三体》是国内科幻小说界里程碑式的作品,多位互联网大佬都是其粉丝,去年其更是荣获科幻小说界的最高奖 “雨果奖”。小说中人类为探索外星文明向宇宙发送电波并收到了三体文明的回复,一旦人类回复该电波,三体将立即定位地球位置并开展后续的侵略行动。不止在小说中,现实生活中也存在很多类似的“钓鱼”短信在人们之间传播,一旦不慎点开了短信中的“钓鱼”链接,链接中附带的病毒将立即入侵手机,给人们的隐私、财产安全带来极大的威胁。在此,安天AVL移动安全和猎豹移动安全实验室提醒大家:在收到附带“钓鱼”链接的短信时,不要点开!不要点开!不要点开!!!

  近期,安天AVL移动安全和猎豹移动安全实验室就监控到一个群发“钓鱼”短信散布蠕虫病毒的恶意事件,事件中的Curiosity病毒一旦进入手机将立即获取感染手机的联系人信息并群发“钓鱼”短信,短信的内容为“你好,我看到这有你的私密照片,点击链接查看:hxxp://b**.ly/2abgToi”。收件人一旦没忍住好奇心点击了该链接,链接指向的蠕虫病毒将会被下载到用户手机。该病毒利用大家对朋友的信任和好奇心,通过短信进行蠕虫病毒传播,并通过远程控制功能形成僵尸网络。值得注意的是,该病毒的远程控制功能是借助Google的C2DM(Android Cloud to Device Messaging)服务实现。

  接下来,我们将对该病毒进行详细的行为解析。

Curiosity病毒运行流程图

V[}U91O[SZN(5E)I4D%BWWM_副本

详细分析

群发“钓鱼”短信并拦截短信

  Curiosity病毒在运行时会获取用户手机中所有联系人的号码,然后向这些号码发送包含蠕虫病毒下载链接的“钓鱼”短信,以诱导更多的用户去下载。短信的内容有多种语言版本,如下图所示,包含英语、阿拉伯语、西班牙语、葡萄牙语、法语等。我们选取其中一个短信内容翻译成中文为:“你好,我看到这有你的私密照片,点击链接查看hxxp://b**.ly/2abgToi ”。 0_副本

  收件人一旦点开短信中的链接,链接指向的蠕虫病毒将下载到用户的手机中。蠕虫病毒伪装程序名为picture,以诱导用户下载安装。 1_副本

  同时该病毒会将自身设置为默认的短信应用,完全拦截用户接收到的短信,导致用户无法接收到短信,并将黑名单中号码的短信进行删除。

  设置自身为默认短信应用: 2_副本

  拦截用户接收到的短信: 3_副本

  删除黑名单中号码的短信: 4_副本

利用Google推送服务远程控制

  Curiosity病毒在运行时通过Google的C2DM(Android Cloud to Device Messaging)推送服务向感染手机推送远程控制指令,控制感染手机向指定号码拨打电话、向指令号码发送攻击者自定义的短信、向用户联系人群发自定义短信等恶意行为。C2DM框架是Google官方提供的数据推送工具,允许第三方开发者通过C2DM服务器向用户手机推送少量的数据。 5_副本

  在这里要对Google的C2DM推送流程进行简单的介绍: 6_副本

  使用C2DM来进行Push操作,需要一部包含Google服务的安卓手机、C2DM服务器和第三方服务器。如上图所示Curiosity病毒利用C2DM服务进行数据推送的流程:   

Step1.使用感染用户的Google账号在C2DM服务器注册一个registration ID。

Step2.将Google账号和C2DM服务器返回的registration ID发送到攻击者的服务器。

Step3.攻击者的服务器将registration ID和要推送的数据以post的方式发送给C2DM服务器上。

Step4.C2DM服务器将推送的数据以push的形式推送到该手机上。

窃取用户隐私信息

  Curiosity病毒运行时会窃取大量的用户隐私信息和设备信息并上传到远程服务器,窃取的隐私信息内容如下(日历和浏览器信息在此版本中暂未实现): QQ图片20161011154300

  上传用户隐私信息: 7_副本 8_副本

  此外,该病毒还通过Watchdog对短信、联系人和通话记录进行监控,一旦这些内容发生变化就会将相关信息上传到远程服务器。在上传时该病毒会使用感染用户的Google账号和设备IMEI作为账号密码进行登录,然后进行上传操作。   进行登录操作返回Token: 9_副本

  上传通话记录: 10_副本

  上传联系人: 11_副本

  上传短信: 12_副本

攻击电话功能

  Curiosity病毒会在用户拨打电话时自动跳转到Home界面并静默挂断,也会静默挂断指定的号码来电,导致手机电话功能几乎崩溃。

  拨打电话时跳转到手机的Home界面: 13_副本 14_副本

  静默挂断电话: 15_副本

总结

  Curiosity病毒运行后获取感染手机的联系人信息,并向联系人群发容易引起好奇心的短信内容,以诱导收件人点击短信中的恶意下载链接,进行蠕虫病毒传播并进一步形成“僵尸网络”,手段极其狡猾。同时该病毒会基于用户自身的Google账户注册C2DM推送模块,通过该模块将远程控制指令推送到用户手机中,后续基于远程指令进行的更深层次的恶意行为。利用第三方平台进行指令推送,手段隐蔽且成本较低,是远程控制病毒的发展趋势。值得注意的是,该病毒并没有包含恶意扣费、推送广告等常见的可获利恶意行为,只有上传用户隐私信息和导致电话功能瘫痪等影响用户正常使用手机的恶意行为。联想到最近国内发生的多起电信诈骗的事件,事件中的受害者被不法者利用隐私信息骗取信任,后续进行诈骗行为。该病毒的恶意开发者后续也有利用窃取的隐私信息对感染用户进行精准电信诈骗的潜在可能,使得感染用户的财产面临极大的安全隐患。

安全建议

  针对Curiosity系列病毒,AVL反病毒引擎集成合作方产品和猎豹专杀工具已经实现全面查杀。安天AVL移动安全团队和猎豹移动安全实验室提醒您:   

1.谨防电信诈骗,不要随意点击任何未知来源或奇怪短信中的链接。

2.请保持良好的上网习惯,不要在非官方网站或者不知名应用市场下载任何应用。

3.强烈建议您使用安全软件,并保持定期扫描的良好习惯。

  安天AVL移动安全团队专注于移动互联网安全技术研究及反病毒引擎研发,为合作伙伴提供强大的移动安全解决方案。AVL移动反病毒引擎致力于为企业和厂商伙伴提供针对性的移动终端威胁防护解决方案,如病毒检测、金融安全防护、上网安全防护等安全能力输出。目前已与众多知名厂商达成战略合作,为猎豹、小米MIUI、阿里云YunOS、OPPO、努比亚、步步高、LBE、安卓清理大师、AMC等合作伙伴提供移动反恶意代码能力,为全球过亿终端用户保驾护航。

附录

C&C信息:

185.38.248.94

Curiosity病毒样本MD5:

E13DFF259B80B70ABAAC5C9BCE129637

转载请注明来源:http://blog.avlsec.com/?p=3849

更多技术文章,请关注AVL Team官方微信号

AVL team二维码