Monthly Archives: 一月 2017

国内某知名应用市场遭仿冒,EvilPea病毒也玩起O2O

   近期, 某社交应用正式推出了LBS+AR天降红包,用户需要在指定地理位置开启摄像头,就能抢到对应的红包,这种线上结合线下抢红包的模式称为O2O(online to offline)抢红包。

   近两年O2O火爆整个互联网圈,各类O2O产品服务层出不穷,比如O2O美甲、O2O剃须、O2O理发,甚至你想洗脚,都有人上门给你服务!

   不料,病毒开发者也来蹭O2O的热点,将线上攻击与线下攻击结合,为感染用户提供“上门服务”……

   近期,安天AVL移动安全团队和小米MIUI捕获了一类恶意程序EvilPea,该恶意程序图标和名称与某知名应用市场完全一致,运行后弹出“程序不完整,需要重新安装”的提示框。用户点击重新安装后,该恶意程序会在用户手机上安装一个真正的应用,以迷惑用户,自身则隐藏图标潜伏在手机中,后续进行如下恶意行为:

  • 诱导用户开启辅助功能,窃取指定APP的用户键盘操作记录
  • 窃取用户短信内容和联系人信息
  • 频繁监控用户地理位置
  • 主动连接指定WiFi
  • 后台私自进行屏幕截图并上传
  • 私自发送、拦截短信

   结合其频繁窃取用户地理位置和主动连接指定WiFi两个行为,我们推测该病毒除了潜伏在手机中进行线上的恶意行为之外,极有可能线下通过WiFi攻击目标手机,窃取用户隐私,侵犯用户财产安全。

病毒运行流程图

00

病毒行为详细分析

step1 潜伏到用户手机

   EvilPea恶意程序安装启动后会解析assets目录下tips中的数据,根据用户手机系统语言分别使用英文或者中文向用户提示“验矫程序时发现程序不完整,需要重新安装,是否进行重新安装?”(如下图所示),当用户点击“确定”后将assets目录下的qu.apk复制到手机储存卡并进行安装,若用户选择“取消”,该病毒则直接隐藏图标继续在后台运行,从而达到潜伏的目的。 1_副本

   tips中的提示数据: 2

   资源文件中的qu.apk: 3

   根据是否有root权限进行提示安装或静默安装: 4 5

step2 窃取键盘记录

   EvilPea恶意程序通过伪装成内存清理服务,诱导用户开启辅助服务,以便监听特定应用的键盘操作记录。同时对于弹出的“是否授予root权限”、“是否允许读取短信”等确认框,自动点击确认框中的“授权”、“允许”等关键字的按钮,并勾选关键字“不再提醒”的复选框。 6 7

   自动点击按钮和勾选复选框的关键字: 8

   监听指定app的键盘记录并保存: 9

step3 基于Droid Plugin插件机制,利用插件实施恶意行为

一、Droid Plugin简述

   DroidPlugin是Android的一种开源插件机制,它可以在无需安装、修改的情况下运行APK文件。插件APK可以独立安装运行,也可以作为插件运行。该恶意程序使用这种插件机制启动各个恶意子包,子包间通过协同的方式完成远控及窃取用户隐私的行为,这样可以避免在插件安装过程中被杀软检测的情况,保证自身长期潜伏在感染终端中。

二、加载插件

   EvilPea恶意程序将资源文件夹Assets/init/目录下的插件复制到SD卡/ .plugin/目录下,然后加载启动这些插件;其还会通过DES解密资源文件夹Resources/raw/config.txt中的数据得到联网地址hxxp://1519j010g4.iok.la:8088/dmrcandroid/,该网址是恶意程序所有数据传输的通道。

   复制插件到指定目录下: 10

三、远程控制

1、获取远程控制指令   

   EvilPea恶意程序通过插件p_1477636923078.apk从服务器上获取远程控制指令并保存在数据库中: 11

   将指令数据通过ContentProvider保存在指定数据库内: 12

   解密后的指令数据: 13

   指令字段说明: 01 (2)

2、远程控制行为:窃取用户地理位置信息   

   当接收到远控指令“locat”、“conlocat”时,EvilPea病毒程序开始窃取用户位置信息。指令为“locat”时窃取用户当前位置信息一次,指令为“conlocat”时持续不断地进行用户位置信息窃取。 14

   持续窃取用户位置信息时,指令参数times表示从当前时间开始窃取的时长,interval表示每次窃取位置信息的间隔时间。 15

3、远程控制行为:连接指定WiFi热点         

   EvilPea病毒程序通过远程指令“connect”获取指定WiFi的ssid,pwd和encript,其中ssid为WiFi连接标识,pwd为WiFi连接密码,encript为WiFi使用的加密方式: 16

   根据获取的数据配置WifiConfiguration: 17 18

   联想到该病毒窃取用户地理位置的行为,我们推测该病毒能够配合线下WiFi攻击手段发起进一步攻击:根据感染用户的地理位置确认可攻击目标,在目标附近搭建恶意WiFi并强制目标手机连接,后续通过WiFi攻击进一步窃取用户的隐私信息,如社交账号、邮箱密码、银行账户等。 19

四、其他插件的功能列表

011

总结

   EvilPea恶意程序伪装成知名应用,诱导用户进行下载安装,在恶意程序安装运行后,将引导用户安装正常应用,自身则隐藏图标潜伏在后台继续运行。后续该恶意程序利用DroidPlugin插件机制实施恶意行为,包括窃取用户短信、获取用户地理位置、连接指定WiFi、屏幕截图等,这些恶意行为本身不会直接造成感染用户的经济损失,但是这些恶意行为结合键盘记录,可以大量窃取用户隐私信息,如支付账号密码、短信验证码等,同时可以基于地理位置配合线下WiFi攻击手段对终端实施进一步攻击,窃取用户隐私信息,最终可能会给感染用户造成巨大的财产损失。

   近几年伴随着黑产者与安全厂商的对抗持续升级,Android病毒攻击方式也在持续不断地进行更新迭代。早期的Android病毒主要通过向手机用户发送运营商扣费短信的方式盈利,攻击方式和获利途径较直接;后期由于安全厂商防护技术的升级,直接发送扣费短信的病毒在前端生存空间逐渐压缩,同时随着移动支付方式兴起,Android病毒转向更隐蔽地窃取移动支付相关的隐私信息,结合线下电信诈骗等其他手段,对受害者造成更大损害。

安全建议

   针对EvilPea病毒,集成AVL移动反病毒引擎的MIUI安全中心已经实现全面查杀。安天AVL移动安全团队和MIUI安全中心提醒您:

  • 请从正规的应用市场下载应用,不要在不知名网站、论坛、应用市场下载应用;
  • 警惕手机中异常提示信息,不要随意赋予应用特殊权限;
  • 公共WiFi,尤其是无密码WiFi,请谨慎连接,避免遭受WiFi攻击;
  • 请使用WiFi检测工具对您连接的WiFi进行安全性检测,全面保护您的上网安全。

附录

Ioc

样本Hash: 74557CD0EC14FFACCC8962E141C7E7BD
C&C: hxxp://1519j010g4[.]iok[.]la:8088/dmrcandroid/

   安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术与安全产品研发的企业,旨在为全球移动终端用户和厂商提供专业的安全防护能力和解决方案。

   安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。AVL Inside曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,实现中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。AVL Insight是国内首个移动威胁情报大数据平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。

   安天移动安全公司与国家互联网应急中心和泰尔终端实验室进行合作,为国家监管部门提供技术支撑;与OPPO、VIVO、小米MIUI、金立、阿里YunOS、步步高、努比亚、乐视、猎豹、LBE、安卓清理大师、AMC等国内外50多家知名厂商建立合作,为全球6亿终端用户保驾护航。

   转载请注明来源:http://blog.avlsec.com/?p=4391

   更多技术文章,请关注AVL Team官方微信号

AVL-team二维码