手機安全已經成為了不可忽視的大問題, 一不小心就成了豔照門的主角、財產流失的受害者。 近幾年大量安卓手機用戶投訴, 其手機會自動向通訊錄發送帶有連結的短信及出現銀行卡自動扣費等現象。 安全研究人員針對這系列的木馬, 進行了相關的分析及追蹤。 發現駭客通過偽基站向用戶發送誘騙短信, 或者偽裝熱門app並上傳到安卓下載平臺等方式誘導使用者安裝, 以及通過第一批的受害者手機向通訊錄所有連絡人發送惡意下載位址, 這種“鳥槍法”的傳播手段, 能無限迴圈傳播下去,
這類木馬是如何工作的?
該木馬私自獲取短信內容,通訊錄資訊並發送到指定郵箱, 轉發接收短信到指定號碼, 具有隱私竊取屬性;根據短信指令執行指定操作, 具有遠端控制屬性;私自發送不同內容短信到指定號碼, 造成用戶資費消耗, 具有資費消耗屬性;監控短信的接收, 私自攔截指定內容或指定號碼發來的短信, 刪除指定內容短信, 具有系統破壞的屬性;啟動後誘導使用者啟動裝置管理員, 隱藏圖示, 防止自身被卸載, 具有流氓行為。 木馬執行基本流程圖如圖所示。
木馬技術原理分析
隱藏圖示
木馬運行之後隱藏圖示, 之後木馬後再後臺私自運行, 同時誘導用戶啟動裝置管理員, 防止用戶發現和卸載, 具有一定的隱蔽性。
隱藏圖示代碼如圖3-1所示:
誘導用戶啟動裝置管理員
誘導用戶啟動裝置管理員, 並發送用戶是否啟動裝置管理員短信到指定號碼, 具體如圖所示:
誘導用戶獲取裝置管理員許可權具體實現代碼如圖所示。
虛假卸載
病毒在使用者在嘗試卸載該惡意程式時, 會彈出包含有惡意應用圖示和名稱的卸載選項, 使用者點擊該圖示後提示虛假的卸載資訊並繼續在後臺運行, 如圖所示。
偽造虛假卸載
木馬狀態報送
該木馬會實際監控木馬的狀態,在使用者啟動木馬,啟動裝置管理員、卸載等操作時,會隨時通過短信的方式通報駭客,駭客手機號碼為13***61。
啟動時通過短信的方式通知駭客使用者已經運行木馬,如圖所示。
用戶啟動獲取消啟動裝置管理員時,通過短信通知駭客目前狀態,如圖所示。
圖 3-7 發送啟動設備管理狀態
使用者卸載軟體時通知駭客,如圖所示。
快速傳播
木馬在啟動時,後臺遍歷用戶通訊錄,並發送帶有惡意URL的短信,誘騙用戶連絡人下載安裝,該方法可以使得木馬傳播速度很快,具如圖所示。
竊取使用者資訊
初始化資料
初始化遠控號碼、發送和接收的郵箱以及郵箱密碼等資訊,具體如圖所示。
收集資訊
通過短信發送手機的IMEI、型號、系統版本等資訊到指定號碼,具體如圖所示。
木馬私自後臺收集使用者短信、通訊錄資訊,並通過郵件的方式發送使用者資訊到指定郵箱,如圖所示。
私獲取短信內容並發送到指定郵箱,具體如圖所示。
通過郵件的方式發送使用者短信到指定郵箱,具體如圖所示。
郵箱地址: sh***8@263.net
密碼: zq***20
私獲取連絡人內容並發送到指定郵箱,具體如圖所示。
通過郵件方式發送連絡人資訊到指定郵箱,如圖所示。
郵箱地址: sh***8@263.net
密碼: zq***20
遠端控制
病毒運行時還會對接收的短信進行監聽,當主控號碼發來短信時,會對短信內容進行解析獲取指令資訊,並控制執行相應的惡意操作。
遮罩用接收短信,啟動服務解析短信指令,防止使用者察覺,如圖3-24所示。
主控號碼:131***61
具體短信指令及對應惡意行為,如表所示:
根據短信指令執行發送短信,攔截短信等操作,具體如圖所示。
已啟動短信攔截功能,則轉發用戶接收短信到指定號碼,同時遮罩和刪除該條短信,防止用戶發現,具體如圖所示。
手機系統版本大於4.2.2,發送短信時,私自設置手機為靜音模式,防止使用者發現收到的短信,具體如圖所示。:
誘騙方式
木馬通過向連絡人發送短信,並將惡意URL嵌入到短信中,通過這種方式增加了誘騙的可信度,從而誘騙用戶下載安裝,具體如圖所示。
經過統計發現,目前相冊類病毒主要是通過短信群發進行傳播
XXX:自己瞧瞧 URLXXX與你有關的,打開看下 URLXXX老同學好,這是URL同學們新整理出來的紀念柵和聯繫錄,大家相互保存,祝您生活和樂家庭幸福XXX你看這是我們重逢一起的時候拍的URL致逝去的青春......資料統計分析
主控號碼統計分析
對目前發現的所有相冊類提取主控手機號碼進行統計,其中主控號碼運營商占比分別為,中國移動占比64%、中國聯通占比43%、中國電信占比2%,具體占比如圖。
主控號碼歸屬地統計發現,其中廣東占比高達54%,其他依次為北京占比9%、江蘇占比6%、山東占比6%,具體占比情況如圖。
竊密郵箱統計分析
總共捕獲竊密郵箱6700多,其中涉及郵箱近兩百種,主要以21.cn、網易郵箱為主,具體占比如圖:
2016年全年總共監測到2萬偽裝相冊類竊密軟體,對所有傳播位址功能變數名稱進行分析統計,其中TOP10功能變數名稱如下表所示。
對所有傳播位址進行歸屬地檢測,發現其中境外占比52%、香港占比33%、境內占比15%,說明該類病毒主要是通過功能變數名稱綁定境外IP位址進行傳播,增加追蹤難度。
對境內IP進行統計,其中北京占比46%、其次是河南,占比13%,具體情況如圖。
傳播地址中,發現其中4500多病毒通過網盤進行傳播,其中虹盤占比38%,騰訊微盤占比33%、2189雲盤占比22%,具體各個網盤具體占比如下:
防範措施及總結
建議用戶通常到正規應用商店下載需要自己的應用,同時不要隨意點開短信中附帶的下載連結等下載安裝未知軟體,可以有效的防止手機感染病毒;
安全需要做到防患於未然,可以使用APP威脅檢測與態勢分析平臺進行分析對Android樣本提取資訊並進行關聯分析和檢測。
木馬狀態報送
該木馬會實際監控木馬的狀態,在使用者啟動木馬,啟動裝置管理員、卸載等操作時,會隨時通過短信的方式通報駭客,駭客手機號碼為13***61。
啟動時通過短信的方式通知駭客使用者已經運行木馬,如圖所示。
用戶啟動獲取消啟動裝置管理員時,通過短信通知駭客目前狀態,如圖所示。
圖 3-7 發送啟動設備管理狀態
使用者卸載軟體時通知駭客,如圖所示。
快速傳播
木馬在啟動時,後臺遍歷用戶通訊錄,並發送帶有惡意URL的短信,誘騙用戶連絡人下載安裝,該方法可以使得木馬傳播速度很快,具如圖所示。
竊取使用者資訊
初始化資料
初始化遠控號碼、發送和接收的郵箱以及郵箱密碼等資訊,具體如圖所示。
收集資訊
通過短信發送手機的IMEI、型號、系統版本等資訊到指定號碼,具體如圖所示。
木馬私自後臺收集使用者短信、通訊錄資訊,並通過郵件的方式發送使用者資訊到指定郵箱,如圖所示。
私獲取短信內容並發送到指定郵箱,具體如圖所示。
通過郵件的方式發送使用者短信到指定郵箱,具體如圖所示。
郵箱地址: sh***8@263.net
密碼: zq***20
私獲取連絡人內容並發送到指定郵箱,具體如圖所示。
通過郵件方式發送連絡人資訊到指定郵箱,如圖所示。
郵箱地址: sh***8@263.net
密碼: zq***20
遠端控制
病毒運行時還會對接收的短信進行監聽,當主控號碼發來短信時,會對短信內容進行解析獲取指令資訊,並控制執行相應的惡意操作。
遮罩用接收短信,啟動服務解析短信指令,防止使用者察覺,如圖3-24所示。
主控號碼:131***61
具體短信指令及對應惡意行為,如表所示:
根據短信指令執行發送短信,攔截短信等操作,具體如圖所示。
已啟動短信攔截功能,則轉發用戶接收短信到指定號碼,同時遮罩和刪除該條短信,防止用戶發現,具體如圖所示。
手機系統版本大於4.2.2,發送短信時,私自設置手機為靜音模式,防止使用者發現收到的短信,具體如圖所示。:
誘騙方式
木馬通過向連絡人發送短信,並將惡意URL嵌入到短信中,通過這種方式增加了誘騙的可信度,從而誘騙用戶下載安裝,具體如圖所示。
經過統計發現,目前相冊類病毒主要是通過短信群發進行傳播
XXX:自己瞧瞧 URLXXX與你有關的,打開看下 URLXXX老同學好,這是URL同學們新整理出來的紀念柵和聯繫錄,大家相互保存,祝您生活和樂家庭幸福XXX你看這是我們重逢一起的時候拍的URL致逝去的青春......資料統計分析
主控號碼統計分析
對目前發現的所有相冊類提取主控手機號碼進行統計,其中主控號碼運營商占比分別為,中國移動占比64%、中國聯通占比43%、中國電信占比2%,具體占比如圖。
主控號碼歸屬地統計發現,其中廣東占比高達54%,其他依次為北京占比9%、江蘇占比6%、山東占比6%,具體占比情況如圖。
竊密郵箱統計分析
總共捕獲竊密郵箱6700多,其中涉及郵箱近兩百種,主要以21.cn、網易郵箱為主,具體占比如圖:
2016年全年總共監測到2萬偽裝相冊類竊密軟體,對所有傳播位址功能變數名稱進行分析統計,其中TOP10功能變數名稱如下表所示。
對所有傳播位址進行歸屬地檢測,發現其中境外占比52%、香港占比33%、境內占比15%,說明該類病毒主要是通過功能變數名稱綁定境外IP位址進行傳播,增加追蹤難度。
對境內IP進行統計,其中北京占比46%、其次是河南,占比13%,具體情況如圖。
傳播地址中,發現其中4500多病毒通過網盤進行傳播,其中虹盤占比38%,騰訊微盤占比33%、2189雲盤占比22%,具體各個網盤具體占比如下:
防範措施及總結
建議用戶通常到正規應用商店下載需要自己的應用,同時不要隨意點開短信中附帶的下載連結等下載安裝未知軟體,可以有效的防止手機感染病毒;
安全需要做到防患於未然,可以使用APP威脅檢測與態勢分析平臺進行分析對Android樣本提取資訊並進行關聯分析和檢測。