針對巴基斯坦用戶的新的Android木馬程序

暗影安全實驗室
臨近年底,黑客利用釣魚網(wǎng)站分發(fā)惡意軟件的熱情并未熄火。近日安全研究人員發(fā)現(xiàn)了一批新的android木馬程序,這批木馬程序通過在安全應(yīng)用的啟動程序中加入自身的惡意代碼或修改安全應(yīng)用的啟動組件,然后將應(yīng)用程序重打包,以達(dá)到竊取用戶隱私數(shù)據(jù)的目的。修改后的應(yīng)用看起來與安全的應(yīng)用程序完全相同,甚至可執(zhí)行其正常功能。

概述:

臨近年底,黑客利用釣魚網(wǎng)站分發(fā)惡意軟件的熱情并未熄火。近日安全研究人員發(fā)現(xiàn)了一批新的android木馬程序,這批木馬程序通過在安全應(yīng)用的啟動程序中加入自身的惡意代碼或修改安全應(yīng)用的啟動組件,然后將應(yīng)用程序重打包,以達(dá)到竊取用戶隱私數(shù)據(jù)的目的。修改后的應(yīng)用看起來與安全的應(yīng)用程序完全相同,甚至可執(zhí)行其正常功能。

這批木馬程序主要針對巴基斯坦用戶,程序啟動后首先連接服務(wù)器下載惡意dex文件,通過加載惡意的dex文件執(zhí)行竊取用戶通訊錄、短信息、通話記錄、文件等信息的行為。并不影響原程序的執(zhí)行流程,用戶難以發(fā)現(xiàn)惡意軟件的異常行為。

1.發(fā)現(xiàn)過程

在域名為pmdu.info的釣魚網(wǎng)站上托管著修改后的由巴基斯坦政府發(fā)行的PakistanCitizen Portal應(yīng)用程序,PakistanCitizen Portal應(yīng)用程序是由一個名為PMDU的政府機(jī)構(gòu)于2019年創(chuàng)建的,其真正托管在域名為gov.pk的網(wǎng)站上。

2345截圖20200908083720.png

圖1-1托管惡意程序的釣魚網(wǎng)站

2345截圖20200908083720.png

圖1-2偽造googleplay頁面

用戶無論點擊以下那個按鈕都會直接下載該惡意程序:

2345截圖20200908083720.png

圖1-3下載連接

其中研究人員在巴基斯坦一家私人公司巴基斯坦貿(mào)易有限公司(TCP)的官方網(wǎng)站頁面上發(fā)現(xiàn)了托管該惡意軟件的網(wǎng)址,該鏈接直接指向釣魚網(wǎng)站。懷疑該網(wǎng)站招到了黑客的破壞。

2345截圖20200908083720.png

圖1-4 TCP網(wǎng)站程序釣魚網(wǎng)站鏈接

2.樣本信息

除了重打包PakistanCitizen Portal應(yīng)用程序外,我們還發(fā)現(xiàn)了該木馬的同源樣本,這些應(yīng)用程序都是針對巴基斯坦用戶。

2345截圖20200908083720.png

2.1文件結(jié)構(gòu)

安全的應(yīng)用程序與被重打包的應(yīng)用程序文件目錄大致相同:

2345截圖20200908083720.png

圖2-1文件結(jié)構(gòu)對比

黑客修改了安全應(yīng)用的啟動組件:

2345截圖20200908083720.png

圖2-2啟動程序?qū)Ρ?/p>

并在啟動程序中加入了自身代碼,從而控制程序執(zhí)行流程:

2345截圖20200908083720.png

圖2-3啟動程序中加入自身代碼

2.2程序圖標(biāo)

2345截圖20200908083720.png

圖2-1應(yīng)用圖標(biāo)

2.3程序運行界面

2345截圖20200908083720.png

2345截圖20200908083720.png

圖2-2程序運行界面

2.4程序運行流程

這些應(yīng)用程序都是通過在安全應(yīng)用的啟動代碼中加入自身代碼或修改安全應(yīng)用的啟動組件來改變程序執(zhí)行流程,從而達(dá)到竊取用戶隱私數(shù)據(jù)的目的,惡意功能執(zhí)行完畢便回歸到合法程序的政常執(zhí)行流程。

2345截圖20200908083720.png

圖2-3程序運行流程圖

3.行為分析

3.1動態(tài)加載惡意代碼

程序啟動首先會發(fā)送設(shè)備的唯一IMEI標(biāo)識符和時間戳以及用戶名和密碼組合("abc"、"def")提交到服務(wù)器。提交此信息后,應(yīng)用程序立即從服務(wù)器下載DEX有效負(fù)載class.dex,然而加載DEX文件執(zhí)行其惡意代碼。在大多數(shù)情況下,有效負(fù)載名為class.dex,但是Trojanized TPLInsurance應(yīng)用程序會檢索名為class_tpl.dex的有效負(fù)載。

2345截圖20200908083720.png

圖3-1下載class.dex文件

從服務(wù)器下載DEX文件并保存在本地文件目錄,接著從本地加載DEX文件。

2345截圖20200908083720.png

圖3-2加載DEX文件

3.2竊取用戶隱私數(shù)據(jù)

調(diào)用DEX文件中的loadData方法,竊取用戶設(shè)備、位置、聯(lián)系人、短信、通話記錄、文件信息:

2345截圖20200908083720.png

圖3-3執(zhí)行惡意程序

為了隱藏自身,惡意程序?qū)Ψ?wù)器地址進(jìn)行了AES加密,且對上傳的用戶隱私數(shù)據(jù)進(jìn)行亦或加密:

2345截圖20200908083720.png

圖3-4服務(wù)器地址加密密鑰

惡意軟件上傳用戶設(shè)備所以文件列表:

2345截圖20200908083720.png

圖3-5上傳用戶文件信息

網(wǎng)絡(luò)請求數(shù)據(jù)包:

2345截圖20200908083720.png

圖3-6服務(wù)器請求

Pakistan CitizenPortal應(yīng)用程序以及其他一些應(yīng)用程序?qū)⒏`取的用戶信息上傳到域名p***hat.online、172.16.***.72的服務(wù)器,而偽造的TPLInsurance應(yīng)用程序?qū)⑵涓`取的數(shù)據(jù)上傳到域名為tpli***rance.xyz的服務(wù)器。

服務(wù)器列表:

服務(wù)器地址

功能

http://pa***hat.online/Chat_view/api/json/log_data.php

上傳設(shè)備IMEI、用戶名、密碼

http://pa**at.online/Chat_view/api/dex/class.dex

下載class.dex

http://pa**at.online/Chat_view/api/device_info.php

上傳設(shè)備信息

http://pa***hat.online/Chat_view/api/json/contact.php

上傳聯(lián)系人信息

http://pa***hat.online/Chat_view/api/json/message.php

上傳短信息

http://pa***hat.online/Chat_view/api/json/call_log.php

上傳通話記錄

http://pa***hat.online/Chat_view/api/file_manager.php

上傳文件目錄

http://pa***hat.online/Chat_view/api/files_up.php

上傳文件信息

http://tpli***rance.xyz/insurance/products/json/log_data.php

上傳設(shè)備IMEI、用戶名、密碼

http://tplin***ance.xyz/insurance/products/dex/class_tpl.dex

下載class.dex

http://tplins***nce.xyz/insurance/products/device_info.php

上傳設(shè)備信息

http://tpli***rance.xyz/insurance/products/location.php

上傳位置信息

http://tpli***rance.xyz/insurance/products/contact.php

上傳聯(lián)系人信息

http://tplin***rance.xyz/insurance/products/message.php

上傳短信息

http://tpli***rance.xyz/insurance/products/call_log.php

上傳通話記錄

http://tpli***rance.xyz/insurance/products/file_manager.php

上傳文件目錄

http://tplin***ance.xyz/insurance/products/files_up.php

上傳文件信息

http://172.16.***.72/fury/api/device_info.php

上傳設(shè)備信息

http://172.16.***.72/fury/api/json/contact.php

上傳聯(lián)系人信息

http://172.16.***.72/fury/api/json/message.php

上傳短信息

http://172.16.***.72/fury/api/dex/class.dex

下載class.dex

http://172.16.***.72/fury/api/json/call_log.php

上傳通話記錄

https://kv33.z***to.org:8887/mobisync

上傳獲取的所以用戶隱私數(shù)據(jù)

3.3延遲執(zhí)行數(shù)據(jù)上傳行為

其中PakistanSalat Time程序的竊取用戶隱私數(shù)據(jù)的惡意代碼直接寫在合法程序中,并直接通過廣播觸發(fā)竊取用戶隱私數(shù)據(jù)的服務(wù)。

2345截圖20200908083720.png

圖3-8通過廣播促發(fā)相應(yīng)惡意服務(wù)

該應(yīng)用程序除了具有與PakistanCitizen Portal應(yīng)用程序一樣的竊取用戶隱私數(shù)據(jù)的行為外,還會對用戶錄音及上傳屏幕截屏信息,具有監(jiān)控性質(zhì)。

2345截圖20200908083720.png

圖3-9執(zhí)行惡意程序

上傳用戶隱私數(shù)據(jù),服務(wù)器地址:https://kv33.z***to.org:8887/mobisync

2345截圖20200908083720.png

圖3-10保存收集的用戶隱私數(shù)據(jù)

2345截圖20200908083720.png

圖3-11上傳至服務(wù)器

該應(yīng)用程序并不會馬上上傳用戶隱私數(shù)據(jù),而是設(shè)置了一個值,當(dāng)這個值大于50便上傳,如果小于50便休眠50s,所以分析人員一開始并不會發(fā)現(xiàn)他上傳用戶隱私數(shù)據(jù)行為。

2345截圖20200908083720.png

圖3-12設(shè)置驗證執(zhí)行

4.平臺介紹

目前,恒安嘉新App全景態(tài)勢與情報溯源挖掘平臺針對300多家公開渠道以及非公開渠道進(jìn)行持續(xù)的監(jiān)測,支持App惡意程序、安全漏洞、違法違規(guī)收集使用用戶個人信息,威脅內(nèi)容等方面多維度檢測,支持App全維度的情報數(shù)據(jù)提取,建立App豐富的情報庫,并提供專業(yè)的檢測報告,可以為移動應(yīng)用開發(fā)商、運營商、公安等不同行業(yè)提供App安全漏洞檢測,惡意程序檢測,家族樣本聚類,樣本關(guān)聯(lián)分析、黑產(chǎn)線索擴(kuò)展、溯源,大屏展示等專業(yè)的服務(wù),同時平臺支持私有化部署、SaaS云服務(wù)部署。

2345截圖20200908083720.png

5.安全建議

·用戶安裝所需軟件,建議去正規(guī)的應(yīng)用市場下載、去官方下載。

·在手機(jī)當(dāng)中安裝必要的安全軟件,并保持安全軟件更新。

IOC

Pa***hat.online

Tpli***rance.xyz

kv33.z**to.org

172.16.***.72

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論