躲不掉的红色炸弹,这次真的「爆」了

2016-07-11 387843人围观 ,发现 17 个不明物体 终端安全

声明:本文由【MS509 Team】成员expsky原创,仅用于技术交流分享,禁止将相关技术应用到不当途径

收到朋友的婚宴请帖后通常都要破费,而且不便躲避,所以请帖也俗称红色炸弹,而这次的红色炸弹真的就爆了!

1.jpg

上面是发生在本月的一条短信,如果你从朋友那里收到如上这样一条短信,点击里面的电子请帖链接,会下载一个APK软件,如果继续点击了这个APK文件而且你又是安卓手机的话,那么你真的中弹了。

0×01 样本逆向分析

逆向了该手机木马样本绝大部分功能,让我们一起来看下红色炸弹是怎么爆炸的

反编译出来的代码经过了混淆,木马主要功能就在这些没有函数符号名混淆了的代码里

1)窃取用户短信和通讯录数据

2.jpg

3.jpg

这些配置信息主要包括:

用于远程控制的手机号码、接收受害者联系人和短信隐私数据的邮箱帐号和密码、木马存活的截至日期(超过截至日期后,木马将不再工作),另外还有很多布尔值的状态参数,比如是否已经发送过联系人和短信数据,是否已激活设备管理器权限等。

4.jpg

获取DeviceId、型号、系统版本等手机设备信息。

接下来就是样本的主功能,首先是窃取短信和联系人数据:

5.jpg

6.jpg

2)启动名为com.phone.stop6.service.BootService的服务,劫持短信

7.jpg8.jpg

解析远控短信命令:

9.jpg

短信钩子函数首先判断收到的短信是否来自于攻击者的手机,如果是来自攻击者则解析远控命令(远控命令以空格分为多个字段,第一个字段为命令控制字,后面为命令参数),如果短信不是来自攻击者,则根据设置的监听等级来判断是否将短信转发给攻击者

短信远控命令有三个:

命令LJ:配置短信监听等级,参数ALL表示全部监听;参数SOME表示部分监听;参数NO表示不监听

命令LOOK:参数TIME表示查询初始设置的木马存活期限;参数PHONE表示查询手机的DeviceId,系统版本等设备信息

命令SEND:控制受害者手机发送短信,参数1为发送到的手机号,参数2为发送的短信内容

为了让接收远控短信神不知鬼不觉,会设置手机静音并关闭震动,而且会删除掉攻击者发来的远控短信

10.jpga.jpg

3)木马主要行为流程

b.jpg

0×02 木马的技术对抗、诱骗行为

除了前面提到的木马会隐藏桌面图标,关闭震动并静音,加密配置文件外还有多种技术对抗和诱骗行为

1)通过诱骗受害者激活设备管理器,并利用设备管理器的漏洞,实现无法卸载

c.jpgd.jpg

利用设备管理器漏洞:继承 DeviceAdminReceiver 重写 onDisableRequested函数,返回恐吓信息,使取消激活对话框弹出,再通过切换Activity使用户无法操作该对话框,就无法取消激活,从而达到无法卸载APP的目的

e.jpg

2)木马运行后,隐藏了桌面图标,再弹出欺骗信息,误导用户以为APP并未安装

f.jpgg.jpg

3)如果用户尝试卸载APP,弹出欺骗信息后终止卸载

h.jpg

4)发送给木马作者的短信中,过滤掉敏感字眼,增强隐蔽性

i.jpgj.jpg

5)加密密钥多次拼接,增强密钥隐蔽性

k.jpgl.jpg

6)动态获取敏感API,避免安全软件静态扫描

m.jpg

0×3 危害性

收信的邮箱账号和密码虽然经过了加密后保存到配置文件里,但仍然可以逆向分析出原始的收信邮箱账号密码

把信收下来,可以发现大量的受害者隐私数据

n.jpgo.jpgp.jpgq.jpgr.jpg

攻击者远程控制受害者的手机继续群发木马链接,实现蠕虫似传播。

可以构想,攻击者通过筛选银行余额信息,挑选“优质”诈骗对象,对其隐私聊天信息进行深入了解后,实施定向诈骗,成功率和收益都会大幅提高(木马作者可以远程控制双方互发精心构造的短信内容,屏蔽掉指定短信)

0×04 追踪溯源

s.jpg

通过反查,查到该邮箱下还注册大量的域名,通过黑帽SEO,制作了多种类型的钓鱼网站,诈骗网站。

招嫖欺诈网站:

t.jpg:

办假证:

u.jpg

黄色网站,诱骗下载捆绑木马的播放器

v.jpg

赌博欺诈网站

w.jpg

x.jpg

裸聊诈骗

y.jpgz.jpg

继续追踪

a1.jpga2.jpga3.jpg

从木马作者收信信箱的登陆日志中发现了杭州、深圳、天津等多个地区的IP,作者应该使用了VPN进行登陆,再查询木马及其变种的远控手机号,木马作者在深圳的可能性较大。通过定位远控手机的位置,肯定是能追踪到具体人的,这些不是我等能做的事情,溯源就此打住……

0×05 尾声

截至撰文此刻,邮箱还会不时地收到受害者的个人隐私数据。该手机木马通过蠕虫似传播,繁殖能力强。攻击者深入了解隐私数据后,精选“优质”对象进行针对性诈骗危害很大。而且现在很多场景,如账号注册、注销,改密、电话银行身份验证等等都依靠手机接收验证码的形式来进行,该木马劫持短信,并可通过短信进行远程控制,威胁能力的发挥空间巨大,危害程度全凭攻击者的想象力……

最后建议不要随意点击未知来源的链接,安装APP更要谨慎,只能通过官方或者受信任的应用市场下载安装APP,安装主流的手机安全软件。

*本文原创作者:【MS509 Team】成员expsky,本文属FreeBuf原创奖励计划,未经许可禁止转载

这些评论亮了

  • Lee 回复
    这人做黑产,做的一塌糊涂。
    )10( 亮了
发表评论

已有 17 条评论

取消
Loading...
css.php