Monthly Archives: 七月 2019

Gaza Cybergang在移动端对阿拉伯语地区的攻击事件

一、背景

  Gaza Cybergang又名Gaza黑客军团,是一个使用阿拉伯语且有政治动机的网络犯罪组织。其进行情报收集的主要地区位于中东和北非(MENA),特别是巴勒斯坦领土。包括卡巴斯基在内的多家安全厂商都曾对其在PC平台的鱼叉攻击行为发布过多篇报告,但是尚未有安全厂商对该组织在移动平台的犯罪活动进行披露,随着移动平台的日益重要和情报价值的进一步凸显,AVL移动安全团队注意到一起由该组织实施的移动端攻击行为,并捕获了一系列恶意代码。下面,AVL安天移动安全将以此事件为蓝本进行具体分析说明,希望能对于这期MAPT行为进行深度还原,为基于移动平台的高级持续性威胁防范提供防御借鉴思路。

二、样本事件线

三、样本概述

  从AVL安天移动安全捕获的恶意样本编译时间看来,恶意代码主要活动于2015年11月到2017年12月这段时间,持续了大约两年时间,并且从样本的代码风格和技术演变上来看,大体可以分为两组样本。两组样本都包含间谍软件的基本功能——隐私窃取功能,这包括:通话记录和录音、地理位置、短信、浏览器记录、启用摄像头拍照和手机中存储的各种文档等信息,但是两组样本前后两年间在窃取的隐私内容和上传方式上基本没有发生变化,仅仅只是混淆和加密程度有所加强,以及分发策略做了不同的调整,这也是我们进行归类的一个原因。

我们捕获到的所有此系列样本,都会使用如下图所示的这种RESTful API的方式进行http通信,区别在于早期的通信过程没有对字段进行混淆,衍化版本中对这些内容做了混淆处理。

通过安天内部的样本大数据搜索引擎,我们发现有这样一个字符串“945673128”反复出现在了这组攻击的样本中,这个字符串被用于在通过IMEI等信息来生成标识当前宿主设备的UserId信息。可以观察出该字符串带有明确的唯一性,但是由于缺少更多信息,是否具备特殊含义或者象征意义,尚无法确定,但是这并不妨碍我们利用该字符串进行对应的样本关联,并且以此作为关联的一个强特征。

四、攻击方式

社会工程学
根据Kaspersky在2017年初报告[1]中的披露,这是一起主要针对以色列国防军军人的网络攻击,早期的Dropper空壳应用的传播媒介主要是通过社交网络,攻击者通过网络虚拟年轻的女性和受害者进行聊天,通过性暗示诱导受害者安装具有Dropper功能的释放器。而Dropper应用一旦被安装到受害者的移动设备,则会择机下载合适payload,伪装成系统或者是某个应用的更新包诱导受害者进行安装。
仿冒知名应用
该攻击组织不仅通过社会工程学对用户的设备进行入侵,还有疑似通过对知名应用的仿冒,来欺骗用户安装Dropper并下载对应的payload,因为仿冒知名应用能够利用受害者对知名应用的信任心理,降低对网络入侵的防备。
YeeCall、8 Ball Pool – Billiards和movetoios这组应用分别涉及到:社交类、游戏类和工具类的领域,都是比较大众的应用,所以我们较难从中发掘攻击组织针对性的选择攻击群体是哪些,但是可以推断应该是该组织因为某些战略因素在扩大情报的收集范围,进行了较为广泛的攻击。

Google Play平台分发
2017年底,我们再次捕获到一组新的间谍应用,这组恶意软件疑似采用了新的分发策略,它们绕过了Google的应用上架安全检查,上架到 Google Play的应用市场中,经过我们对它们和之前针对以色列国防军的那批样本的比对分析,可以看到较为明显的关联性,这组样本不用再通过其他手段作用于用户终端,也不用通过伪造系统或者是某个已安装应用的更新包进行payload的释放了,Google Play作为全球最大的Android应用分发平台,可以极大程度的削弱受害者的防备心理,但是实际上对于有着具有丰富资源支持的攻击者而言,绕过Google Play平台的安全检测并不是一件十分困难的事情。

五、技术特征

 Dropper
早期的通过社会工程学的方式分发的空壳应用,为了规避查杀,在Dropper中并没有包含任何和隐私窃取有关的功能,所有的恶意功能均在稍后下载安装的payload中进行。其中在Dropper释放payload的时候,会通过本机安装的应用列表来决定释放在宿主机器上安装payload,从而尽可能的增强自己的隐蔽性。

混淆
代码中大量使用ProGuard对类名、方法名和变量名进行混淆,在版本迭代的过程中开始对RESTful API格式的通信流量中的字段进行混淆处理,目的应该是依次规避流量查杀和增加安全人员的分析成本。
初期只是对代码中的类、方法、变量名进行了混淆。

后期改进的版本混淆了RESTful API格式的通信流量中的字段。

加密
对于payload子包的获取,Dropper从网络王获取到的全部都是使用AES加密的文件,当文件下载到本地,早期使用的是硬编码在本地的AES密钥进行解密,在中期的衍化版本中使用讲key和iv向量分别放置在assets目录下的两个文件当中,在解密的读取方式下对密钥进行隐藏。

到了再后来的版本中,开始对联网的C&C信息进行加密,依然采用的是上一代类似的assets目录下存放a、b两个分别是key和iv的方式,C&C相关的配置文件同样存放在assets目录下被命名为c的文件中:

解密出的C&C配置信息:

对于上传文件采用压缩加密的方式,密钥为“#DP%&YJ*$354.lq dA1e”

Payload更新
在所有的Dropper中都包含对payload的更新功能,独立的payload也包含对自身的更新检查和从网络上游拉取最新版本的功能,这样可以保证实现的攻击部分能够得到较为灵活的控制能力。

六、攻击者和目标群体

  根据上文在仿冒知名应用环节的描述,我们一般可以通过对仿冒应用的用户群体,来间接推测出攻击者在选择受害者群体时的意图倾向,装机量可以在一定程度上说明这个问题,下图为我们通过安天AVL Insight平台查询到的YeeCall正版应用在终端的情况,通过这个数据我们可以间接的了解到攻击在选取受害人群的地域倾向,这里可以看出重点地区在印度、沙特阿拉伯等地区,这一点和Gaza Cybergang组织的攻击区域是基本吻合的。

根据Kaspersky在报告[1]中的情报可知,我们在2015年11月至2016年8月期间捕获到的部分Dropper是用来针对以色列国防军的,这一点也是和Gaza Cybergang组织在曾经实施攻击的群体是有重叠的,而我们后续捕获的诸多样本,也皆是这一系列的变种。
根据外部情报[3],我们捕获到的C&C也在公开情报中被指出这是和哈马斯组织有关的网络攻击事件。

而Gaza Cybergan是一个被认为与巴勒斯坦抵抗组织哈马斯有联系的黑客组织,在2012年首次被发现。在2016年初,其攻击目标主要是以色列、埃及、沙特阿拉伯以及伊拉克。
根据我们的关联分析,我们认为这组攻击归于Gaza Cybergang(针对阿拉伯语覆盖区在移动端的最新攻击动向,这组攻击样本显示出该组织可能在阿拉伯语地区利用Android平台进行更加广泛的情报收集工作)。

七、总结

  在这次事件中,攻击组织在技术上可以看到明显升级迭代,攻击人群也由单点的以色列国防军扩散到更加广泛的阿拉伯语使用地区,攻击者并没有展现出特别高级的攻击技术,但是在分发时利用人性的弱点作为切入点的钓鱼手段,总是让人防不胜防。这也再次验证了“人是信息安全的最大尺度”这一论断,同时攻击组织将精心构造的恶意样本上传至正规应用市场,极大程度的削弱了受害者的安全防备意识,对于具有较高安全要求的特定企业和组织,如果将移动设备的安全性全部寄托在应用市场的上架检测上,那必然会对自身的安全带来高风险隐患。
目前的网络攻击事件慢慢的展现出了PC、移动两端双管齐下的态势,建议组织机构应提高安全防范意识、及时修复漏洞;使用成熟的企业级安全解决方案有针对性地分析、捕捉异常网络攻击事件;向我们及时提供最新的威胁情报数据以强化威胁防范与查找发现措施。
AVL安天移动安全作为移动反病毒领域的领先者,也将继续保持对此类事件的重点关注,提高安全防护能力,持续的对用户的终端信息安全和财产安全进行保驾护航。

八、IOCs

样本MD5
19CD219BBB62F9BA3655B0DADF324EE2
D6EF9B0CDB49B56C53DA3433E30F3FD6
D652113A710BEF40F91F890BB6395E6D
4DDF3FF57DB24513A16EACB99AD07675
9EC6823230AB22BA1BEC76ACB869E7F9
4A71557DD68A260B250A96C4AC2B230F
AB062D97943CB28647738F17C328B926
754B8FA89F8E86BA4467BD3EA7C613CE
3C21E0D77F8FB350255A080838058095
7E98A474B77CF5807186DAC773D355C7
3F401889A6805D8A702DBFA905B3E85C
EBD8F1104E138EA07B3DBF432D855987
57917F2B37FD187104B8775A831605F7

C&C
bestdroidfriend.com
endpointup.com
twosuite.com
chatackapp.com
vokachat.website
fastdroidmob.com
androidmobgate.com
androidbak.com
sweetdroids.com

九、附录

附录1:

Breaking The Weakest Link Of The Strongest Chain


附录2:
https://blog.lookout.com/viperrat-google-play
附录3:
https://ddanchev.blogspot.com/2019/05/exposing-yet-another-currently-active.html

VirtualAPP技术应用及安全分析报告

一、引言

  VirtualApp(简称:VA)是一款运行于Android系统的沙盒引擎框架产品,可以理解为轻量级的“Android虚拟机”。VA具有免安装、多开、内外隔离及对于目标App完全控制的能力。VA从表现形式上属于动态加载,但是从技术本质上来说还是通过增加VAMS对启动Intent进行修改,拦截和代理Android系统消息,并且通过自定义的ClassLoader加载和构造未在VA的AndroidManifest.xml中声明的组件,以达到对目标App的控制效果。

  在应用运行时通过动态加载消息代理技术,作为一项在Android系统上已经可以成熟使用的手段,除了在VA虚拟引擎框架中,目前也广泛应用在热更新、应用加壳和应用动态保护等功能中。正常使用VA虚拟引擎技术一般是为了实现轻量级版本快速迭代、功能更新、bug修复和特定安全防护,但是恶意和流氓应用使用该技术一般是为了逃避安全检测,延长生命周期,获取更大的利益。
 
  无论是动态加载的插件化技术,还是基于VA的虚拟化引擎技术,从安全属性上而言,都在一定程度上挑战了Android系统的安全要求,谷歌和苹果对上架应用都有对应的规定——禁止使用动态加载功能。虽然如此,仍然有大量开发者对VA技术有需求,包括在Windows平台上,也有官方API提供特定窗口和消息的Hook机制,用来满足开发者的应用开发需求,可见这种技术本身也是具有两面性的,我们需要客观看待。

 安天移动安全从2016年开始持续加强了对VA相关技术和应用的关注,并在VA类样本分析、检测等方面也有了不错的成果及独特的见解。下面我们对基于VA恶意及非恶意样本传播情况进 行了统计,如图1所示:

  从图1的数据上看,VA技术从诞生开始,整体上非恶意的应用数量就偏少,一直在一个较小的范围,而黑产对于该技术的采用则激进很多,在前期就大幅增加,后期则随着恶意代码规模的减小而减小。

二、VA技术带来的安全风险

  VA技术目前也有用于正常用途的,比如部分游戏爱好者拥有多个账号,部分白领由于工作原因需要对于个人社交软件和工作用户社交软件进行隔离,这一类的需求一直很旺盛。

  但是VA实际上也会给运行在VA中的App带来不可忽视的安全风险,即APP的运行环境完全被VA控制,安卓的沙盒隔离机制被突破,并导致不必要的攻击入口和风险面暴露。

   VA技术动态加载可以在运行时动态加载,并解释和执行包含在JAR或APK文件内的DEX文件。外部动态加载DEX文件的安全风险源于:Anroid4.1之前的系统版本容许Android应用动态加载存储在外部目录中的DEX文件,同时这些文件也可以被其他应用任意读写,所以不能够保护应用免遭恶意代码的注入;所加载的DEX文件易被恶意应用替换或者注入代码,如果没有对外部所加载的DEX文件做完整性校验,应用将会被恶意代码注入,那么攻击者编写的任意恶意代码将会被自动执行,从而进一步实施欺诈、获取账号密码或其他恶意行为。例如QQ游戏Android客户端漏洞导致任意代码执行和密码泄漏。

三、VA技术带来的现实威胁

VA技术是在虚拟空间中安装、启动和卸载APK,是应用级的虚拟化技术,VA中运行的恶意应用软件可以逃避杀毒软件的静态检测,VA框架也被黑灰产用于开发多开工具、改机工具、抢红包工具等方式实施恶意行为。VA框架上运行的插件应用程序也被引入了代码修改风险,重打包的应用程序存在隐私泄露、被植入广告等危害。下面我们将详细分析VA技术带来的现实威胁。

(一)作为灰产工具的应用

1.1作为多开工具的应用

VA创建了一个虚拟空间,使用者可以在虚拟空间内任意的安装、启动和卸载APK,因此产生了大量的多开工具。

多开工具一直倍受微商、刷量工作室、羊毛党的青睐。通过明码标价,服务于意向商家,以低成本甚至零成本换取了高额利润。表1即是部分用于电商、微信的多开工具。

1.2作为改机工具的应用

开发者利用VA自带的JAVA层Hook,开发了改机工具,包括修改设备参数,虚拟定位等工具。

以虚拟定位工具为例,该应用通过遥感设置虚拟位置,能够实现虚拟定位的功能,应用运行截图如图2、图3、图4所示:

详细的流程如下:

(1)安装需要定位应用

(2)设置虚拟位置 输入位置信息,通过百度地图获取对应经纬度信息。

接收定位信息,设置目的位置。

(3)实现定位功能 获取虚拟数据,通过加载包com.lody.virtual.client.hook.proxies.location实现虚拟定位功能。

1.3作为抢红包工具的应用

目前流行的抢红包功能实现有两种方案,一种是通过Android AccessiblityServices监测用户窗口,模拟点击,一种是利用Xposed框架对红包相关的函数进行Hook,第二种方案需要Root权限,但是不必打开微信界面即可抢红包。VA提供了免Root Hook能力,通过使用开源热更新框架替换函数,实现自动抢红包功能,下图5为利用VA的抢红包工具。

该红包工具通过框架AndFix替换系统函数,模拟点击红包消息、拆红包。

模拟点击红包消息代码:

拆红包代码:

(二)协助恶意样本逃避静态检测(即免杀) 由于VA的特性,大量恶意应用通过将功能包加密存储在VA内,实现动态调用。传统的静态检测皆是对应用的包名、证书、代码等进行识别,在检测VA应用时,识别的则是VA的信息,没有恶意特征,因此躲避了查杀。 对于库内VA样本进行筛选,发现大量色情应用使用VA特性绕过检测,部分应用如下表所示。

(三)为APP提供运营环境(即重打包)

3.1基于VA环境的隐私窃取

VA代码可以不通过修改代码即重打包应用,且自带免Root Hook能力,绕过重打包检测的同时,实施恶意行为。以Trojan/Android.twittre家族为例。

通过VA启动Twitter,Twitter启动后,修改后的VirtualCore模块Hook了EditText类的getText函数,从而在Twitter登录窗口劫持用户的输入,窃取用户的登录凭证。

3.2基于VA环境的广告植入

由于应用运行在VA环境下,因此很多重打包应用会植入广告部分。

以某类重打包应用内嵌广告为例。 (1)内嵌广告结构:

(2)监听应用安装,启动广告服务:

(3)上传设备固件信息,请求广告:

(4)下载应用,判断“adType”,通过VA安装该应用:

四、VA检测及防范措施

  通过分析,可知VA技术在实现双开或其他模板时破坏了安卓的沙盒隔离机制,并且让用户产生因为和系统隔离而带来的安全感,需要知道的是这种技术性隔离也是从事实上拒绝了系统原生安全机制,并引入了新的风险以及运营成本,同时VA技术也给系统带来了不小的安全隐患,无法检测恶意实体、母体权限过大、安装绕过、绕过市场监管等是目前无法进行有效防护的主要因素。在VA安全防范方面,应确保所加载的DEX/APK文件的传输通道和存储位置安全,或者对加载源进行完整性校验和白名单处理。

  在VA检测技术方面,自2016年下半年以来,安天移动安全持续对手机双开应用进行标定。无论是VA类的恶意样本,还是常规恶意样本,安天移动安全都进行了有效的对抗,基于自动化预处理平台,可以对未知样本进行细粒度的解析,生成对应的结构化中间件结果,并利用前置引擎进行有效降维,为后期样本分析和科学研究产生高价值数据。安天移动安全检测框架则从不同维度对未知样本进行检测,从证书、符号、操作码等常规检出维度上升到文件结构以及自定义向量等高维层次进行计算,有效保持在移动恶意代码处置上的竞争力。安天移动安全也正在持续加强同国内一线终端厂商深入合作,通过融入系统底层安全机制,为上层应用生态提供原生级的安全防护能力。

五、安天移动安全引擎技术体系助力打通产学合作

  安天移动安全长期与高校展开产学合作,本着“以理论突破技术发展,以技术反哺理论创新”的思路,致力在移动终端恶意代码检测技术领域研究出新的成果。武汉大学史鹿曼、傅建明等人发表的《“Jekyll and Hyde” is Risky: Shared-Everything Threat Mitigation inDual-Instance Apps》论文,成功被第17届ACM移动系统、应用和服务国际的会议(简称MobiSys 2019)收录,该论文针对双开应用程序创造性地提出了新的恶意VA检测方法,安天移动安全为该论文研究提供了丰富的恶意样本分析训练数据和分析检测模型支持。

➣除了VA类的恶意样本,安天移动安全对各种隐私危害、不良不规范和恶意类型的移动恶意样本有着深刻的认知和技术积累,并形成了完整的自动化预处理平台和不同的安全检测框架。欢迎高校、研究机构或企业单位与我们一起探讨移动恶意代码检测分析难题。

➣联系邮箱:research@avlsec.com