1.概述

[[343041]]

近日我們?cè)诤惆布涡聭B(tài)勢(shì)感知平臺(tái)上監(jiān)測(cè)到一款仿冒韓國(guó)音樂(lè)應(yīng)用的病毒樣本。經(jīng)過(guò)安全研究人員分析，發(fā)現(xiàn)該應(yīng)用在用戶不知情的情況下，竊取用戶設(shè)備短信、聯(lián)系人、設(shè)備信息等敏感數(shù)據(jù)，之后便隱藏圖標(biāo)保持后臺(tái)長(zhǎng)時(shí)間運(yùn)行。

 

 

圖1-1 態(tài)勢(shì)感知平臺(tái)監(jiān)測(cè)到的樣本信息

2.詳細(xì)分析

2.1請(qǐng)求敏感權(quán)限

(1)該應(yīng)用整體運(yùn)行過(guò)程并不復(fù)雜，應(yīng)用啟動(dòng)后便通過(guò)第三方SDK(yanzhenjie)來(lái)請(qǐng)求敏感權(quán)限。

 

 

圖1-2 利用第三方接口請(qǐng)求敏感權(quán)限

(2)yanzhenjie是第三方開(kāi)源庫(kù)，主要用于實(shí)現(xiàn)動(dòng)態(tài)請(qǐng)求權(quán)限。

 

 

圖1-3 第三方SDK包信息

2.2Binder機(jī)制處理消息

(1)啟動(dòng)主服務(wù)，通過(guò)binder機(jī)制發(fā)送消息：

 

 

圖1-4 發(fā)送消息

 

 

圖1-5 處理消息

(2)循環(huán)處理消息，依次執(zhí)行獲取并上傳用戶設(shè)備聯(lián)系人、短信、設(shè)備等信息任務(wù)。

 

 

圖1-6 循環(huán)處理任務(wù)

2.3服務(wù)器通信

(1)連接服務(wù)器：上傳用戶手機(jī)號(hào)、imei、設(shè)備類(lèi)型等信息。

 

 

圖1-7 上傳用戶設(shè)備信息

 

 

圖1-8 抓包數(shù)據(jù)

(2)在與服務(wù)器通信之前惡意軟件會(huì)先檢測(cè)網(wǎng)絡(luò)狀態(tài)：

 

 

圖1-9 監(jiān)測(cè)網(wǎng)絡(luò)連接狀態(tài)

(3)若用戶手機(jī)設(shè)備沒(méi)有連網(wǎng)，獲取設(shè)備APN類(lèi)型(網(wǎng)絡(luò)接入點(diǎn))。

 

 

圖1-10 硬編碼的APN類(lèi)型

 

 

圖1-11 獲取APN類(lèi)型

(4)根據(jù)手機(jī)APN類(lèi)型設(shè)置代理進(jìn)行通信：

 

 

圖1-12 設(shè)置代理進(jìn)行通信

(5)若用戶設(shè)備已連網(wǎng)則通過(guò)http協(xié)議進(jìn)行通信：

 

 

圖1-13連網(wǎng)通信

 

 

圖1-14 向服務(wù)器發(fā)送請(qǐng)求

2.4竊取隱私信息

(1)注冊(cè)短信接收廣播，獲取用戶短信息。

 

 

圖1-15 獲取用戶接收的短信息

將獲取的短信信轉(zhuǎn)換為json格式發(fā)送至服務(wù)器：

 

 

圖1-16 發(fā)送的短信數(shù)據(jù)包

(2)通過(guò)binder消息機(jī)制，執(zhí)行獲取聯(lián)系人信息任務(wù)并發(fā)送至服務(wù)器：

 

 

圖1-17 獲取用戶聯(lián)系人信息

 

 

圖1-18 發(fā)送聯(lián)系人數(shù)據(jù)包

(3)通過(guò)數(shù)據(jù)庫(kù)查找獲取用戶設(shè)備短信箱信息并發(fā)送至服務(wù)器：

 

 

圖1-19 獲取用戶短信箱信息

(4)獲取用戶設(shè)備照片信息并發(fā)送至服務(wù)器，但代碼內(nèi)并未調(diào)用：

 

 

 

 

圖1-20 獲取照片信息并發(fā)送至服務(wù)器

惡意軟件打印的日志信息包含了大量用戶敏感信息：

 

 

圖1-21 惡意軟件日志信息

2.5服務(wù)器列表

 

 

(1)該服務(wù)器地址最新注冊(cè)與2020-06-09。

 

 

圖2-1 域名最新注冊(cè)時(shí)間

(2)IP指向美國(guó)洛杉機(jī)。

 

 

圖2-2 IP指向美國(guó)

(3)對(duì)服務(wù)器地址進(jìn)行擴(kuò)展分析發(fā)現(xiàn)該應(yīng)用的下載地址：http://api090501.ca***ac.xyz/1.apk，通過(guò)修改apk文件名稱為其它數(shù)字能下載不同的應(yīng)用。其中能下載文件名序號(hào)為1-3的apk文件，這三個(gè)apk文件代碼行為完全相同，只是圖標(biāo)及應(yīng)用名稱不同。

 

[[343042]] [[343043]] [[343044]]

 

圖2-3 同類(lèi)惡意軟件家族

3.總結(jié)

從該應(yīng)用的應(yīng)用名稱以及分發(fā)網(wǎng)站來(lái)看，該病毒軟件主要針對(duì)韓國(guó)用戶，且威脅行為者利用不同的仿冒韓國(guó)應(yīng)用的惡意軟件進(jìn)行傳播感染用戶設(shè)備，以達(dá)到竊取用戶隱私數(shù)據(jù)的目的。

暗影安全實(shí)驗(yàn)室將會(huì)持續(xù)監(jiān)控移動(dòng)惡意軟件狀態(tài)，及時(shí)為移動(dòng)端用戶提供最新風(fēng)險(xiǎn)輿情。