联系我们
  • 联系人: 侯女士?

    电 话: 025-58630787?

    邮 箱: [email protected]?

    手 机: 18052008777

    公司地址:南京市雨花台区雨花大道2号邦宁科技园1-4层


躲不掉的红色炸弹,这次真的「爆」了
2016-7-11
来源:freebuf
点击数: 3799          作者:江苏天网
  • 收到朋友的婚宴请帖后通常都要破费,而且不便躲避,所以请帖也俗称红色炸弹,而这次的红色炸弹真的就爆了!

    1.jpg

    上面是发生在本月的一条短信,如果你从朋友那里收到如上这样一条短信,点击里面的电子请帖链接,会下载一个APK软件,如果继续点击了这个APK文件而且你又是安卓手机的话,那么你真的中弹了。

    0×01 样本逆向分析

    逆向了该手机木马样本绝大部分功能,让我们一起来看下红色炸弹是怎么爆炸的

    反编译出来的代码经过了混淆,木马主要功能就在这些没有函数符号名混淆了的代码里

    1)窃取用户短信和通讯录数据

    2.jpg

    3.jpg

    这些配置信息主要包括:

    用于远程控制的手机号码、接收受害者联系人和短信隐私数据的邮箱帐号和密码、木马存活的截至日期(超过截至日期后,木马将不再工作),另外还有很多布尔值的状态参数,比如是否已经发送过联系人和短信数据,是否已激活设备管理器权限等。

    4.jpg

    获取DeviceId、型号、系统版本等手机设备信息。

    接下来就是样本的主功能,首先是窃取短信和联系人数据:

    5.jpg

    6.jpg

    2)启动名为com.phone.stop6.service.BootService的服务,劫持短信

    7.jpg8.jpg

    解析远控短信命令:

    9.jpg

    短信钩子函数首先判断收到的短信是否来自于攻击者的手机,如果是来自攻击者则解析远控命令(远控命令以空格分为多个字段,******个字段为命令控制字,后面为命令参数),如果短信不是来自攻击者,则根据设置的监听等级来判断是否将短信转发给攻击者

    短信远控命令有三个:

    命令LJ:配置短信监听等级,参数ALL表示全部监听;参数SOME表示部分监听;参数NO表示不监听

    命令LOOK:参数TIME表示查询初始设置的木马存活期限;参数PHONE表示查询手机的DeviceId,系统版本等设备信息

    命令SEND:控制受害者手机发送短信,参数1为发送到的手机号,参数2为发送的短信内容

    为了让接收远控短信神不知鬼不觉,会设置手机静音并关闭震动,而且会删除掉攻击者发来的远控短信

    10.jpga.jpg

    3)木马主要行为流程

    b.jpg

    0×02 木马的技术对抗、诱骗行为

    除了前面提到的木马会隐藏桌面图标,关闭震动并静音,加密配置文件外还有多种技术对抗和诱骗行为

    1)通过诱骗受害者激活设备管理器,并利用设备管理器的漏洞,实现无法卸载

    c.jpgd.jpg

    利用设备管理器漏洞:继承 DeviceAdminReceiver 重写 onDisableRequested函数,返回恐吓信息,使取消激活对话框弹出,再通过切换Activity使用户无法操作该对话框,就无法取消激活,从而达到无法卸载APP的目的

    e.jpg

    2)木马运行后,隐藏了桌面图标,再弹出欺骗信息,误导用户以为APP并未安装

    f.jpgg.jpg

    3)如果用户尝试卸载APP,弹出欺骗信息后终止卸载

    h.jpg

    4)发送给木马作者的短信中,过滤掉敏感字眼,增强隐蔽性

    i.jpgj.jpg

    5)加密密钥多次拼接,增强密钥隐蔽性

    k.jpgl.jpg

    6)动态获取敏感API,避免安全软件静态扫描

    m.jpg

    0×3 危害性

    收信的邮箱账号和密码虽然经过了加密后保存到配置文件里,但仍然可以逆向分析出原始的收信邮箱账号密码

    把信收下来,可以发现大量的受害者隐私数据

    n.jpgo.jpgp.jpgq.jpgr.jpg

    攻击者远程控制受害者的手机继续群发木马链接,实现蠕虫似传播。

    可以构想,攻击者通过筛选银行余额信息,挑选“优质”诈骗对象,对其隐私聊天信息进行深入了解后,实施定向诈骗,成功率和收益都会大幅提高(木马作者可以远程控制双方互发精心构造的短信内容,屏蔽掉指定短信)

    0×04 追踪溯源

    s.jpg

    通过反查,查到该邮箱下还注册大量的域名,通过黑帽SEO,制作了多种类型的钓鱼网站,诈骗网站。

    招嫖欺诈网站:

    t.jpg:

    办假证:

    u.jpg

    黄色网站,诱骗下载捆绑木马的播放器

    v.jpg

    赌博欺诈网站

    w.jpg

    x.jpg

    裸聊诈骗

    y.jpgz.jpg

    继续追踪

    a1.jpga2.jpga3.jpg

    从木马作者收信信箱的登陆日志中发现了杭州、深圳、天津等多个地区的IP,作者应该使用了VPN进行登陆,再查询木马及其变种的远控手机号,木马作者在深圳的可能性较大。通过定位远控手机的位置,肯定是能追踪到具体人的,这些不是我等能做的事情,溯源就此打住……

    0×05 尾声

    截至撰文此刻,邮箱还会不时地收到受害者的个人隐私数据。该手机木马通过蠕虫似传播,繁殖能力强。攻击者深入了解隐私数据后,精选“优质”对象进行针对性诈骗危害很大。而且现在很多场景,如账号注册、注销,改密、电话银行身份验证等等都依靠手机接收验证码的形式来进行,该木马劫持短信,并可通过短信进行远程控制,威胁能力的发挥空间巨大,危害程度全凭攻击者的想象力……

    最后建议不要随意点击未知来源的链接,安装APP更要谨慎,只能通过官方或者受信任的应用市场下载安装APP,安装主流的手机安全软件。

版权所有 Copyright(C)2009-2013 江苏天网计算机技术有限公司 苏ICP备16029720号

玄机二句是2019