Monthly Archives: 七月 2018

gpSystem:一种可私自注册google账号的病毒

  近期安天移动安全和猎豹移动联合捕获到病毒gpSystem,该病毒植入在应用程序private,程序运行后便隐藏图标,进行下载提权相关文件、联网获取数据模拟点击注册google账号、上传用户账号、固件等信息等一系列恶意行为,造成用户资费损耗和隐私泄露风险。目前安天移动安全联合猎豹移动已实现对该病毒的检测查杀,建议用户安装猎豹安全大师等集成安天移动安全反病毒引擎的安全产品,定期进行病毒检测,一旦被感染需及时卸载恶意应用。以下是针对该病毒的详细分析。

一、样本基本信息

  该恶意应用被下载安装后将隐藏图标,下载提权相关文件、私自提权,解密静默安装恶意程序到系统目录,修改多个系统api调用的返回值,联网获取数据模拟点击注册google账号,还会私自下载恶意子包,上传用户账号、固件等信息。

二、恶意行为流程图

三、动态分析

  运行后多次申请root权限:

四、样本分析

  程序运行,隐藏图标:

  获取root权限:

  联网下载提权模块:

  执行提权方案:

  提权后安装apk:

  解密子包,启动两个子包服务:

  拷贝到系统目录和sdcard:

  子包分析

androidntv(gpSystem): MD5:95EEA5CD39A722507D4781AB3067E5F8 dmrdroid(com.android.dmr): MD5:62D26656061AB328A079FB6FB4E84460 gpSystem:      启动SuService:

  hook多个系统函数:

  判断是否能够注册google账号:

  判断辅助功能是否启动,用来模拟点击注册google账号:

  开始hook:

  hook多个系统api,修改返回值,以防止影响自动注册:

  hook之后启动注册界面:

  会先结束其他影响注册的服务,然后am命令启动注册界面:

  界面启动之后,RegisterAccessbilityService通过监听包名“com.google.android.gsf.login”触发注册界面启动事件:

  判断sdk版本,使用不同的方式注册google账号:

  通过辅助功能获取界面上所有控件信息,之后联网获得注册数据:

  判断是否是测试版本,测试版本则注册测试账号,不是测试版本则联网获取注册数据:

  注册google账号:

  通过辅助功能模拟点击:

  com.android.dmr:

  MMLogManagerService服务中,联网获取下载配置信息:

  下载并加载子包:

  下载子包:http://www.supportdatainput.top:8080/modules/abroad.zip

  加载子包:

  abroad.zip分析

  拷贝用户账号等数据文件到指定目录,解析数据并上传,上传cc为:http://game.zxcvbnmasdfghjkl.xyz:8080/game/api

  获取上传数据:

  拷贝用户账号信息等文件到指定目录:

  从/data/system/users/0、/data/data/com.google.android.gms、 /data/data/com.google.android.gsf、/data/data/com.android.vending这4个目录拷贝数据库或配置文件,主要从这些文件获取用户账号、authtoken(授权令牌)、gcm、固件、GooglePlay等相关信息:

  解析文件格式后,将数据上传服务器:

  收集用户账号信息等数据可能用于配合gpSystem注册google账号相关。

  相关CC:

五、总结

  该病毒首先通过联网获取root方案,下载并执行提权模块,随后释放两个恶意程序,拷贝到系统目录以防被卸载。恶意程序通过辅助功能模拟点击注册google账号,并且通过修改系统函数返回值(忽略按键、锁屏无效等),防止其影响注册流程,以提高注册成功率。同时还会下载恶意代码,收集用户账号、authtoken(授权令牌)、固件、gcm、GooglePlay等信息,可能用于配合自动注册相关。 近年来,各种黑色产业链逐步形成,黑产的攻击手段也越来越专业化,会利用一系列手段保护自己,对此安全厂商应该持续关注并提升对抗能力,为移动安全保驾护航。

  更多信息详见公司官网:http://www.avlsec.com   

  转载请注明来源:http://blog.avlsec.com/?p=5291

更多技术文章,请关注安天移动安全官方微信

微信支付SDK XXE高危漏洞预警与应急响应

一、概述

  近日,国外安全社区 Seclists.Org 披露了微信支付官方 SDK 存在严重的 XXE 漏洞,可导致商家服务器被入侵,且黑客可避开真实支付通道,用虚假的支付通知来购买任意产品 。目前,漏洞详细信息以及攻击方式已被公开,影响范围巨大(已确认陌陌、vivo因使用该SDK而存在该漏洞)。该漏洞利用成本低,极易被攻击者利用攻击。

  漏洞披露后,安天移动安全针对该漏洞进行分析并结合支付行业特点,界定漏洞危害以及对支付行业影响。安天移动安全第一时间针对支付行业发布微信支付SDK XXE高危漏洞预警,并启动了安全应急响应,提出了针对支付行业支付后台系统应对措施的建议。

二、漏洞预警说明

  XXE漏洞简述

  XML 外部实体注入漏洞(XML External Entity Injection,简称 XXE),是一种容易被忽视,但危害巨大的漏洞。它可以利用 XML 外部实体加载注入,执行不可预控的代码,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

  微信SDK的XXE漏洞原理

  通常,商家通过微信SDK提供的“unifiedOrder”接口,调用微信支付功能完成支付,并设置一个URL来异步接收支付结果通知。这个URL由商家在服务端按照微信支付开发文档中“支付结果通知”API中的定义实现,在微信后台完成支付操作以后调用。微信后台通过约定好的接口定义,对回调接口发送一个XML文件,供后续解析。

  设计中,这个支付结果通知并不需要服务端验证通知是否从来自微信的支付服务,因为通知中含有可验证的签名,第三者不可能构造签名,除非掌握商家的关键安全信息(mch_id和md5-key)。但是,在解析这个结果通知的XML的过程中,微信Java版本的SDK没有禁用“XML 外部实体加载”的机制,导致攻击者可以向接受通知的URL中构造恶意的XML数据,利用XXE漏洞,根据需要窃取商家服务器上的任意信息。一旦攻击者获得商家的关键安全信息,那么他们可以通过发送伪造的信息来欺骗商家而无需付费购买任意商品。

  漏洞影响范围

  本次披露漏洞为服务器漏洞,影响范围为采用受影响的版本为WxPayAPI_JAVA_v3的微信官方Java SDK版本的支付后台系统。

  漏洞对支付行业影响

  移动支付作为支付行业最主要的业务场景,同时微信支付作为国内主流支付方式之一,绝大部分支付后台均接入微信支付。通过漏洞分析可知,本次爆出漏洞是一个服务器漏洞,直接影响整个支付后台系统,且利用方式已经被披露,利用成本极低。漏洞一旦利用会直接导致支付后台数据被窃取,造成重大隐私数据泄露,攻击者还可以基于窃取数据,进行伪造交易等攻击,对支付业务造成极大危害。

三、应对策略

  针对微信支付SDK XXE高危漏洞的威胁态势,目前安天建议从排查和修复两方面入手,支付后台系统运营方就当前接入微信支付SDK的支付后台系统进行漏洞专项排查,明确当前支付后台是否存在该漏洞,同时对于确认存在该漏洞的支付后台,进行相应的威胁处理,对漏洞进行修复。安天可免费提供漏洞检测和修复服务,帮助支付后台系统运营方处置该漏洞威胁。

  1.对于直接采用微信官方的JAVA SDK实现“支付结果通知”的商家,当前微信官方最新版的JAVA SDK已经修复此漏洞,可以通过微信官方渠道 下载,对代码进行更新。

  2.对于没有使用微信官方SDK实现“支付结果通知”的商家,需要在解析XML时禁用“XML 外部实体加载”的机制。微信SDK官方修复参考示例如下:

四、建议

  本次披露的漏洞是一个服务器后台接口漏洞,后台服务作为企业的核心资产,不仅仅承载着企业核心业务,同时也承载着海量用户的关键数据。一旦服务器存在致命漏洞,受影响的不光是相应企业,同时还有广大用户。因此如何保护企业核心后台业务安全是企业信息安全的重中之重,企业应当对企业核心业务的关键API接口进行渗透测试评估,确保核心接口不存在安全隐患。

  同时该漏洞是由于微信SDK引入,支付后台运营方只是负责接入,但是由于即使研发实力强如腾讯,也依然可能存在的安全隐患,最终导致集成的支付后台的核心业务受到影响。开放是当前信息化、网联化、智能化的发展趋势,但是开放势必带来新的安全挑战,安全也不再是一个单点封闭的话题,而应该更加着眼于生态安全,生态的各个参与方,明确彼此承担的安全职责,携手共建安全有序的发展环境。

  参考资料

  1.WeChat leave a backdoor on merchant websites: http://seclists.org/fulldisclosure/2018/Jul/3

  2.微信支付Java版本SDK存在XXE漏洞: https://cloud.tencent.com/developer/news/263804

  3.微信0元购?微信支付SDK爆出XXE漏洞http://baijiahao.baidu.com/s?id=1604965507191135469

  4.https://pay.weixin.qq.com/wiki/doc/api/download/WxPayAPI_JAVA_v3.zip

  更多信息详见公司官网:http://www.avlsec.com   

  转载请注明来源:http://blog.avlsec.com/?p=5284

更多技术文章,请关注安天移动安全官方微信

testService间谍病毒的“七年之痒”

一、概述

  近期安天移动安全和猎豹移动联合捕获到间谍家族Trojan/Android.testServiceSpy的一些新的病毒样本,截至目前,捕获到的样本9成以上都是名为”testService”的测试样本,故称之为testService间谍病毒。从时间节点上来看,近年我们也有陆续捕获到该家族的一些其他样本,如Angel、Angel001、testzhixing、True、helloworld等。在最新发现的样本中,有3个具有钓鱼性质的应用,我们对其进行了详细分析,以期还原这个家族样本的技术细节。

一、恶意行为分析

2.1 恶意应用

  在我们捕获到的大量的样本中,大多数是类似测试的Demo样本,但是其中包含3个明显具有钓鱼性质的应用,具体为Notepad、ScrollBook(禁书网)和中国化工网。

  以ScrollBook(禁书网)应用为例,我们发现该应用未经用户同意,在后台运行时采集包括位置信息、通话记录、短信、通讯录等用户敏感信息并秘密上传。

  分析发现,这些应用的开发群体恶意攻击倾向较为鲜明,且应用名称及图标具有强烈的钓鱼伪装性质,用户一旦安装将存在严重的隐私泄露风险。

2.2 编码特征

  我们捕获到早期的部分样本是不采用任何处理手段的,CC直接明文硬编码在代码中,但是也依然存在大量对明文的CC进行处理的样本,从时间节点上看,我们推测样本进行了多次迭代。

  该病毒家族早期对CC的处理方式:先进行BASE64,然后再执行如图1所示的编码处理:

图 1 – 编码函数1

  该病毒家族后期对CC的处理方式:使用图2的编码函数来替代BASE64然后进行DecryptStringabc123()解码,该系列样本并未使用太过复杂的加密编码手段,可以看到,都是类似一些”编码”的处理,值得注意的是这些编码的技术在逐渐加强。

图 2 – 编码函数2

2.3 通信过程

  恶意应用会在首次运行和开机运行之后启动TService服务,TService则会立即启动CMainControl类开启一个用来执行恶意行为的线程:

  在CMainControl类中会先通过postPhpJob()方法上传手机的一些硬件信息进行“注册”:

  这些硬件信息将会通过post请求进行上传:

  在上传文件的http->post方法中使用“ahhjifeohiawf”的字符串作为boundary分隔符:

  如果“注册”成功,远程服务器将会下发后续用于通信的IP和Port信息:

  注册完成后将会利用远程服务器返回的IP地址和端口开启一个Socket长连接:

  恶意应用采集到的隐私信息将会通过Socket发送到远程服务器,从Socket中获取输入、输出流以便用来进行后续通信:

  在连接建立后先执行一次mSendReport()操作,该操作会构造”ejsi2ksz”+Mac+IP的byte数组,然后进行一些类似校验和的字段填充操作:

  然后对byte数组进行简短的加密操作之后进行发送:

  mRecvPkgFun()负责解包从远程服务器通过socket流传递过来的信息:

  解析远程发送过来的控制指令,并根据指令执行相应的恶意行为:

2.3 通信指令

  我们注意到,这些指令在代码中并未使用到,只是硬编码在CCommandType类当中,而且部分指令的实现部分没有编写,我们猜测该家族可能还会持续升级迭代版本。

三、总结

  该间谍软件没有使用常规的http/https方式进行远程通信,而是使用了socket的方式进行通信,这样在一定程度上可以规避流量的查杀,远控的设计精细程度具有一定的高度。早在2012年,我们就捕获到了该家族进行隐私窃取的Demo样本,并在漫长7年时间中陆续捕获了该家族流出的大量测试样本,其中在2014和2016年分别捕获到两个疑似已经投放到市场中的该家族的间谍应用,最近一次捕获是在2017年底,最新的样本中关键代码基本未变,但是从整体代码结构可以看出其编写更具规范性和逻辑性,我们推测该家族可能还会持续迭代样本以在Android平台进行针对性的隐私窃取。

  自2012年至今,该间谍家族已存在7年之久,纵使其恶意攻击技术不断改进、恶意病毒不断蔓延,却也迎来了他的“七年之痒”,目前安天移动安全联合猎豹移动已实现对该病毒的检测查杀,建议用户安装猎豹安全大师等集成安天移动安全反病毒引擎的安全产品,定期进行病毒检测,抵御恶意病毒攻击,保护个人信息安全。

  隐私窃取目前仍是各个国家面临的最严重的网络安全威胁,从早期的PC平台到愈演愈烈的Android平台,受助于移动平台的流行,越来越多的攻击行为将战场转移到了Android平台,这对移动安全厂商的查杀能力提出了新的、更高的要求。安天移动安全深耕行业8年,反病毒能力得到第三方测试机构和合作伙伴的认可,对恶意病毒具有全覆盖的查杀能力。

  附录:SHA-1

  6A589EF09A6A631D366D744D7E4478434B200D0B

  F62C302409763241F4BFB2FCB758F4A4CEA2C090

  D3602D88D20D0FA1598A9FDBC0758DD4CF7FACB2

  EE01EBE1C4036D7F1FCCD5041F0E5652BF64FE3F

  10F69A4C8C030781805FFD69DCFCA7469E6E9782

  14E9F12C6C5F5BAD6ED5A3D15CBB3349E5E3D64E

  7BC025021E76A9660222961D32F8A4ED1119A78E

  D8E9205E1ECE91A004A22267820E90C12D976743

  F4D4C29F59211767C14D44ED10B0F5B4F8F3EEB0

  06DB46DB51071A7689D11CC2B11C7C873F4C0C4C

  A781128ED4C728681A686993AE5D5BCAD1F01F6A

  45372FD67F090111E0E1AAC1DDA674693BDA3807  

  更多信息详见公司官网:http://www.avlsec.com   

  转载请注明来源:http://blog.avlsec.com/?p=5264

更多技术文章,请关注安天移动安全官方微信号