随着手机的广泛普及和移动互联网的发展,基于移动终端的攻防对抗日益激烈。 针对日益升级的恶意代码检测技术,恶意攻击者的反检测手段也随之不断变化。 早在2015年,安天移动安全就发现了一起利用C#编写的恶意代码逃避检测的案例,并对其进行了技术分析。
近日,安天移动安全联合猎豹移动安全实验室又捕获到了另一个类似病毒。 该病毒采用框架开发(它基于C#语言和部分.Net基类库,以mono虚拟机为平台开发应用代码的框架),框架开发的特点是逻辑开发人员编写的代码最终将被编译为 dll 文件,而不是常规的 dex 文件。 因此,传统的反病毒检测方法对于此类应用通常是无效的。 另外,该病毒利用知名应用程序的Bot进行通信,相比传统的C&C域名通信具有极强的隐蔽性。 安天移动安全团队与猎豹移动安全实验室进行了深入分析并发布了技术报告。 全文如下。
1. 样本信息
2. 静态分析
首先,从AM文件中我们可以看到该病毒申请了一系列与窃密相关的权限:
另外,在AM文件中,我们还可以看到它注册了各种系统来监听系统消息。
深入研究一个在调用传入时接收的类,我们在该类中找不到任何实际的功能代码。 在函数中,它直接将 sum 传递给一个方法。 然而尴尬的是,在这个类中,我们并没有看到任何so文件,而这实际上是使用Mono框架实现的。
dex文件中的其他几个类也存在类似的情况:
也是这样的:
从上面的静态分析我们可以了解到,病毒dex文件中基本没有实质性代码。 这里主要是因为该框架允许开发者在.Net平台上使用C#进行开发,这意味着我们基本上不可能在dex文件中进行开发。 结果可以在文档中找到。
3. 恶意行为分析
该病毒的核心恶意模块是.tools.dll文件。 通过对该文件进行反编译即可获得该病毒的核心恶意行为。 该病毒的整体攻击流程如下图所示:
Step1:隐藏自己并初始化Bot
当用户安装应用程序时,病毒首先通过()方法,弹出虚假提示框,告知用户该程序无法运行,并自动卸载。 卸载完成后,图标自动隐藏,为后续恶意行为不被发现埋下伏笔。 这也是目前常见的恶意代码隐藏自身的主要方式。
隐藏后,病毒会启动以下服务。 它首先执行语言识别,并在非英语语言环境下默认显示波斯语。
包含了Bot API(以下简称TBA)模块初始化相关的一些组件设置、绑定和行为:
值得一提的是,该病毒设置了一个定时器来监控相关核心恶意服务是否存活。 如果失败,它们将重新启动。
此外,病毒还额外注册了两个消息回调函数。 这里再次暴露了其利用知名应用提供的框架来实现一些重要功能的意图:
Step2:遥控装置
之前我们也发现过一些使用TBA进行通信的样本。 此次发掘的样本基本都是使用纯TBA进行通信。 该病毒的远程控制行为非常完整,关键操作(文件增删、关键服务启动)也非常完整。 关机、关闭并重启受控端、卸载自身等)都需要主控端进行第二次确认操作,分为发起操作和确认操作两个步骤。 在文件管理功能方面,基本达到了PC端远程控制的水平,集成了文件预览、上传、下载、移动、重命名等多项功能。 对于来自被控端的短信、来电等内容,主控端可以收到“实时消息推送”级别的响应。 另外,这些功能可以通过主控终端随时开启和关闭。 同时主控端可以控制被控端设备的关机和重启(该功能要求被控端设备是root设备,病毒本身不具备提权功能)。 主控端可以随时发起受控端设备卸载病毒。 、打开相机实时拍照、实时截图(需要root)、获取实时地理位置信息。
总的来说,这个病毒在软控功能方面设计得非常好。 主控端与受控端可灵活交互。 这与其他普通病毒有很大不同。 这部分归功于TBA提供的各种完整的网络传输方式。 经分析,该病毒包含100多条远程控制指令。 以下是部分命令信息。 完整命令信息请点击“阅读原文”了解:
Step3:根模块检测
由于远程控制行为中包含的远程开机、重启、截图等功能的实现需要设备的Root权限,因此在执行相关功能之前,病毒会首先检测Root模块,以确认设备是否已Root。 如果是,则申请Root权限来进行相关恶意行为:
第四步:设置计划操作
该病毒还专门创建了一个定时操作线程,按照指定的时间间隔执行恶意行为。 预定的操作是:每小时释放存储被盗隐私信息的缓存空间; 每五秒检查一次 检查地理位置收集器是否仍在工作:
上面的定时执行线程还负责定时上传获取到的私密信息:
Step5:监控亮屏行为激活守护者恶意服务
亮屏动作的捕获主要是为了实现主要恶意服务的生存保护。 结合上述定时执行线程以及定时服务检测和激活的逻辑,足以看出病毒开发者保护自助服务的“意图”:
Step6:窃取其他隐私信息
通过该方法,启动一个服务,定时获取手机存储中所有图片类型文件:
病毒专门为这个服务设置了一个定时器来进行“服务守护”。 如果服务挂起,请重新启动它。
从+98代码可以看出,该病毒的活动范围为中东某地区。 此外,该病毒还监控短信发送行为:
监控网络变化、上传通话记录、防护恶意服务:
4. 事件分析
从我们捕获的样本来看,该病毒基本上是一个假冒的工具应用程序,包名.tools和.OS也很常见。 我们很难从这些地方发现可能的攻击对象和目标群体属性。
但根据应用程序中出现的波斯语设置以及短信监控中出现的+98国际拨号代码的线索,我们推测该病毒的活跃区域应该是某个中东国家。 另外,在分析过程中,我们发现了一个疑似的账户主页:。 主页账户指向某个用户账户“Qhack”。 我们在 上搜索该用户,结果如下:
从第二张图中我们可以看到这个账号在1小时前仍然在线,但是个人信息中没有任何内容,因此我们推测这可能只是一个被用作的僵尸账号。
通过样本关联,我们在这批样本的其中一个签名下关联了一个不同的样本,但它们都是使用框架编写的。 类名和方法名非常相似。 他们都有假装卸载后台隐藏图标并启动恶意服务的行为。 ,但文笔比较粗糙。 虽然有一些隐私信息被窃取,但并没有像之前分析的那样用于通信,而是简单地使用http进行通信。 通信 IP 为 148.251.203.5 和 148.251.32.113。 其中一个样本名为“ ”(译名“电报”),该技术在阿拉伯语地区也很活跃。 推测此类样品可能是早期产品。
第一代样品:
第二代样品:
从技术角度来看,使用C#开发应用程序的情况并不多见。 推测攻击者可能是一名精通开发的技术人员。 当然,也不排除他故意这样做是为了迷惑公众或者逃避杀毒软件的检测。 从代码结构来看,其模块划分比较清晰,组织结构也比较合理。 同时,其通信过程完全采用TBA,结合TBA的遥控行为逻辑和功能设计也颇具特色。 从这些角度来看,攻击组织的技术水平都非常不错。
5. 总结
该病毒采用C#编写,通过将逻辑代码编译在dll文件而不是常规的dex文件中来规避传统的恶意代码检测机制。 此外,该病毒还利用知名应用程序的Bot进行通信,进一步增强了其隐蔽性。 这说明恶意开发者具有一定的反查杀意识和能力。 在此基础上,该病毒建立了完整的远程控制体系,涵盖了各种远程控制恶意行为,包括收集各种设备硬件信息、文件管理(文件和文件夹预览、移动、删除、重新安装)。 命名、上传、下载)、短信实时监控、通话记录实时监控、截图、通话录音、图片、账户、地理位置实时获取,远程拍照拍照等,极大地提高了用户的使用体验。侵犯用户个人隐私信息。 安全,危害很大。
对此,安天移动安全和猎豹移动安全实验室已实施对该病毒的检测和查杀。 建议用户安装猎豹安全大师等集成安天移动反病毒引擎的安全产品,并定期进行病毒检测,保护个人信息安全。 。
公司简介
武汉安天信息技术有限公司成立于2010年,是一家专注于移动互联网安全技术和安全产品研发的高新技术企业。 公司在上海、成都、美国硅谷设有技术研发分支机构,是全球顶尖的移动安全解决方案提供商。
2014年,公司自主研发的移动反病毒引擎产品以全年平均检出率最高的成绩荣获AV-TEST全球“移动设备最佳防护”奖,成为首个获此国际奖项的亚洲安全厂商,实现中国安防厂商在全球顶级安全评测领域实现零的突破并斩获重量级奖项。
2015年,在国际知名安全软件评测机构AV-C年度移动安全产品评测中,公司AVL移动反病毒引擎产品以全年100%病毒检出率,成为2015年度安全产品第一名。
公司凭借出色的技术研发能力、数据抓取能力和应急响应能力,长期为国家互联网应急中心、泰尔终端实验室等国家监管部门提供强有力的移动互联网安全支撑,现已成为移动互联网安全领域的领先者。国内移动安全响应系统。 重要企业节点; 并与国内外主流芯片厂商、移动终端厂商、移动应用厂商建立了长期战略合作关系,为全球超过10亿终端用户保驾护航。
官方网站:
电话:
邮件: