freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Project TKBOX:蛰伏数年的“短信收割机”
2021-02-19 11:07:04

​概述

近日,奇安信病毒响应中心在日常黑产挖掘过程中发现一款之前从未被披露过,免杀并至少活跃了一年的安卓木马架构,作者疑似具有中文背景,在华语地区灰黑产圈子中广泛贩卖并使用,影响面从东亚一直蔓延到东南亚,数万台安卓手机沦为肉鸡。由于该远控内部代号为TXBOX,故我们将该远控框架命名为Project TKBOX。

为该APK样本较为轻量化,免杀效果很好。功能主要为短信管理、联系人信息、DDoS攻击,目前摄像头管理等其他功能正在开发中。木马运行后会伪装成正常程序,打开配置好的网页,收集用户信息,向远程服务器发起连接,等待后续指令。

2020年7月份时,我们曾发过一篇名为《黑产新“基建”:沉淀在上游的“虚拟身份”制造机》介绍了目前华语黑产安卓小型木马的发展趋势,本文可以当作是该黑产脉络的补充拓展。随着越来越多的应用、游戏支持话费支付,我们认为此类木马在未来几年中仍会保持相当健壮的活力。

1613703728_602f2a3093333947f696e.png!small?1613703728972


样本分析

MD5

类型

2b6cd6e6bf42ee6bed023d52d1dd056d

APK文件

样本图标如下:

1613703822_602f2a8e2aef3549d1add.png!small?1613703822587

运行后的界面如下:

1613703826_602f2a92b12df1a0af7d7.png!small?1613703827010

登录按钮并没有对应的功能,故我们判断该样本为测试样本。样本中的字符串都经过了加密。

1613703831_602f2a97d91a283d5fc9c.png!small?1613703832158

对应的解密算法如下:

1613703835_602f2a9b73765f0b4bf45.png!small?1613703835729

获取联系人管理、拨号、查看发送短信等权限。

1613703843_602f2aa3607eee66d61a4.png!small?1613703843667

成功获取权限后收集本机信息如:phoneNumber、deviceid、Uid、Mode等,将其作为Http头发送到远程服务器上,其中User-Agent字段对应的值为“SMSIST_Client“。

1613703848_602f2aa8d9b78a1ce0c64.png!small?1613703849206

C2配置如下:

1613703852_602f2aac044946f5664b5.png!small?1613703852240

发送心跳包。

1613703856_602f2ab033fa4e5bf1bfc.png!small?1613703856431

具体的远控功能在CoreService服务中。

1613703860_602f2ab44f34b5669b52f.png!small?1613703860715

具体功能如下:

指令

功能

Upload

收集本机短信和联系人并上传到服务器上

Send

向指定的电话号码发送指定的信息、修改QQ密码

No

无动作

connupload

上传本机信息

Ntpddos

向指定服务器发起DDoS攻击

CC

向指定服务器发起CC攻击

Stop

自销毁

值得一提的是发起DDoS攻击时使用的是开源项目NTP Doser,攻击者将其编译成so文件作为模块调用。1613703867_602f2abbab2c475141547.png!small?1613703867943

Apk在启动时会初始化内置的ntp.list

1613703873_602f2ac18e6b778014dd4.png!small?1613703873876

Ntp.list内容如下:

1613703877_602f2ac572000d1b43edf.png!small?1613703877804

包含ntp服务器列表用于发起DDoS攻击。


关联分析

基于奇安信大数据关联平台,我们找到了Project TKBOX项目实际投递的payload,图标如下:

1613703882_602f2acae3df8b64bb2e9.png!small?1613703883185

打开app后会跳转到指定的网站掩人耳目,内容如下:

1613703886_602f2aced69d06bb6f688.png!small?1613703887189

经过深入挖掘我们找到TKBOX的主控端

1613703891_602f2ad3368bbfa005713.png!small?1613703891557

主要用于管理、生成小马。

1613703895_602f2ad79a52818f4c970.png!small?1613703895934

主控端的网络架构与小马的架构类似,功能有所增加。

1613703899_602f2adb19723145eaf4f.png!small?1613703899426

大致的网络结构如下:

1613703904_602f2ae000f3a382444ad.png!small?1613703904284

除此之外我们还观察到TKBOX有些功能还在开发中。

1613703908_602f2ae465aaf70128aaf.png!small?1613703908758

新开发的功能很有可能与摄像头有关。

1613703912_602f2ae816fd09f6072d1.png!small?1613703912525


总结

安卓小马轻量化的普及给目前杀软的查杀能力提出了新的挑战,同时也是考验各家厂商对于黑产新框架,新模式的挖掘和预警能力。奇安信病毒响应中心会持续走在全球移动安全研究的前沿,第一时间追踪分析最新的移动安全事件、对国内移动相关的黑灰产攻击进行深入挖掘和跟踪,为维护我国网络安全砥砺前行。

同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对该样本进行精确检测。


IOC

文件Hash

2b6cd6e6bf42ee6bed023d52d1dd056d



# 黑产 # Project TKBOX
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者