安全路透社
当前位置:安全路透社 > 网络转载 > 正文

“安全服务”木马分析报告

1.  “安全服务”木马软件介绍

该木马通过仿冒安全软件诱导用户下载以及安装运行,之后会在用户手机生成多个伪装正常应用的图标,当用户点击对应的图标时,如果手机存在对应的应用,则会打开正常应用,否者就会隐藏该图标;之后病毒会在用户未知的情况下私自获取用户短信、通话记录、联系人等信息,并发送到指定的URL,同时会接收远程指令,执行指定的恶意操作。

2.  “安全服务”木马工作流程

安装该木马病毒启动后在手机桌面创建多个不同名称的应用图标,图标的入口对应正常的应用程序,从而达到伪装的目的,当用户手机网络状态发生改变例如从无线网换到4G网时,该病毒接收到此广播后获取隐私并将隐私信息打包成logs.zip存放在SD卡的根目录中并发送到指定的URL,或当用户手机接收到手机尾号为8358的短信后也会将隐私发送到指定RUL,如图2-1所示。

 “安全服务”木马病毒运行流程

图2-1 “安全服务”木马病毒运行流程

3.  “安全服务”木马技术原理

3.1  基本信息

样本MD5:D95AEE19A0987D9CFE30F84C84A8950C

软件名称:Freeme Security Service

软件包名:com.***.***.service

3.2  伪装技术

该款病毒与以往病毒的伪装技术类似,通过“freeme security service”伪装成手机系统安全服务软件,诱导用户下载安装。

 伪装图标示例伪装图标示例

图3-1 伪装图标示例

3.3  多个应用图标技术

首先在AndroidMainfest文件中注册多个主程序入口即多个activity-alias标签,通过给android:icon属性设置不同的背景图片从而实现手机安装后出现多个应用图标,在病毒程序中将正常应用程序的包名存放在SQLlite中,当用户安装后程序查询SQLlite中的包名并赋值到对应的主程序入口,通过startActivity的方法启动对应的正常应用程序。在用户点击图标后如果手机中未安装对应的应用程序,该病毒首先会将该包名从SQLlite中删除并用则隐藏该应用图标如图3-2。

 木马病毒安装效果图

图3-2 木马病毒安装效果图

木马病毒在AndroidMainfest注册多入口标签,从而在用户安装之后,会出现多个图表,具体代码如图3-3

 木马病毒注册多入口标签

图3-3 木马病毒注册多入口标签

木马会将正常程序的包名存放到SQLlite中,当用户点击图标时,如果用户已经手机上存在该图表对应的应用,则会打开该应用,当不存在时,则会自动隐藏该图标,同时删除数据库中该图表对应应用的信息,达到隐藏自身的目的,具体代码如图3-4、图3-5、图3-6所示

  存放正常程序的包名

图3-4 存放正常程序的包名

  配置程序入口并启动正常应用

图3-5 配置程序入口并启动正常应用

如果手机中未安装对应的程序则在SQLlite中删除对应的包名(如图3-6)

 在SQLlite中删除入口

图3-6 在SQLlite中删除入口

当木马病毒再次启动时查询SQLlite中剩余的包名并赋值到对应的程序主入口,如图3-7、图3-8所示。

 再次启动时查询SQLlite

图3-7 再次启动时查询SQLlite

 再次启动时查询SQLlite

图3-8 再次启动时查询SQLlite

3.4  获取隐私打包

该病毒私自获取获取短信、联系人、通话记录信息存储在log文件中,并进行打包,具体代码如图3-9、图3-10、图3-11所示。

 获取联系人信息

图3-9 获取联系人信息

 获取通话记录信息

图3-10 获取通话记录信息

     获取短信内容  

图3-11 获取短信内容

将获取的隐私信息封装到logs文件内,如图3-12所示

 将隐私信息封装到logs文件内

图3-12 将隐私信息封装到logs文件内

将logs文件打包成zip格式如图3-13、图3-14所示

 将logs文件打包成zip格式

图3-13 将logs文件打包成zip格式

 将logs文件打包成zip格式

图3-14 将logs文件打包成zip格式

3.5  远程控制技术

3.5.1   接收网络状态变化广播实现远程控制技术

木马会私自监听用户手机网络状态,当手机网络状态发生改变时,会私自获取用户隐私信息并发送到黑客服务器,如图3-15、图3-16所示。

判断是否需要上传信息 

图3-15 判断是否需要上传信息

监听网络状态并发送隐私信息 

图3-16 监听网络状态并发送隐私信息

3.5.2   监听短信接收广播拦截用户的短信实现远程控制技术

该病毒私自拦截用户接收短信,通过解析短信号码和内容获取远控指令,并根据短信指令执行发送用户隐私到指定地址,如图3-17、图3-18、图3-19所示

接收短信广播 

图3-17 接收短信广播

 判断是否是黑客发送的指令 

图3-18 判断是否是黑客发送的指令

执行窃取隐私操作 

图3-19 执行窃取隐私操作

3.5.3   通过Socket实时通讯将隐私信息发送到指定服务器技术

将获取到的信息发送到指定的服务器,如图3-20所示。

服务器地址:http://***/lapi/thief

发送隐私信息 

图3-20 发送隐私信息

Socket实时通讯技术的实现,如图3-21、图3-22

 Socket实时通讯技术的实现

图3-21 Socket实时通讯技术的实现

 接收服务器指令

图3-22 接收服务器指令

4.  溯源分析

4.1  溯源流程

黑客溯源主要是通过提木马病毒中相关联的信息,包括上传隐私地址及下载地址等信息,通过对以上信息进行数据过滤和筛选,之后对筛选的数据进行网络追踪,已达到定位具体黑客,从源头打击的目的。

具体溯源流程如图4-1所示。

 溯源流程

图4-1 溯源流程

4.2  溯源详情

4.2.1   上传隐私地址溯源

通过分病毒代码得到起上传隐私地址,如图4-2所示

服务器地址:http://***/lapi/thief

 上传地址

图4-2 上传地址

通过域名查到起IP为:58.***.***.57  其地址为上海电信

 服务器所在IP地址

图4-3 服务器所在IP地址

通过IP及域名查到起注册邮箱、注册人、注册时间、注册商、公司名称等信息,如图4-4、图4-5、图4-6所示。

  域名反查信息

图4-4 域名反查信息

 域名备案信息

图4-5 域名备案信息

通过其公司名称查到起公司地址、法定人等信息,如图4-6所示

 公司名称反查信息 

图4-6 公司名称反查信息

4.2.2   下载地址溯源

该病毒样本的下载地址为:http://***/***.apk

通过WHOIS查询下载地址得到注册邮箱及注册人 如图4-7、图4-8所示

 下载地址WHOIS查询

图4-7 下载地址WHOIS查询

域名备案查询 

域名备案查询

图4-8 域名备案查询

根据对比上传隐私地址反查结果得知为同一人注册

4.3  溯源总结

通过从上传隐私地址以及下载地址的溯源,我们可以发现其域名是相同的,也从侧面认证了了该软件是在放马人自己的服务器上进行传播,同时使用自己的服务器接收用户隐私。通过对域名的WHOIS、备案等信息的查询,可以发现该软件的嫌疑人信息如下。

名称:上海***有限公司

注册地址:上海市***室

5.  防范及处置建议

安全从自身做起,建议用户在下载软件时,到针对的应用商店进行下载正版软件,避免从论坛等下载软件,可以有效的减少该类病毒的侵害;

安全需要做到防患于未然,可以使用恒安嘉新的APP威胁检测与态势分析平台进行分析对Android样本提取信息并进行关联分析和检测。

*本文作者:暗影安全实验室(公众号);转载请注明来自 FreeBuf.COM

未经允许不得转载:安全路透社 » “安全服务”木马分析报告

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册