“暗度陈仓”病毒分析报告

Track-SSG   ·   发表于 2019-08-26 11:03:32   ·   漏洞文章

“明修栈道,暗度陈仓”,出自《史记·淮阴侯列传》,原指从正面迷惑敌人,用来掩盖自己的攻击路线,而从侧翼进行突然袭击。引申意:用明显的行动迷惑对方,使敌人不备的策略,也比喻暗中进行活动。用假象迷惑对方以达到某种目的。这是声东击西、出奇制胜的谋略。近期,暗影实验室监测到与“暗度陈仓”的典故极其类似的一个病毒,样本名为“换机精灵”,伪装成正常样本进而欺骗用户,并在用户不知情的情况下执行各项恶意操作。

一、“暗度陈仓”病毒概述

1.1病毒介绍

换机精灵软件从表面看为一款为用户提供备份手机信息的应用软件,但在实际运行中它获取了大量权限,这些权限申请起来极为勉强,同时会私自获取用户软件以及硬件信息进而判断手机内的安全软件情况,留下远程控制的暗门用来下载恶意APK,同时模拟用户点击浏览器,达到刷流量的目的,其中下图所示为该病毒的运行界面

https://image.3001.net/images/20190806/1565084449_5d494b214e140.png

图1-1 换机精灵运行界面

1.2恶意行为

私自获取用户手机大量权限信息

私自获取用户手机软件以及硬件信息到指定网址

通过远程服务器信息判断手机内安全软件情况并安装apk

私自传播恶意APK,利用恶意apk模拟用户点击浏览器

发送大量网络请求数据包,消耗手机资源

私自创建桌面快捷方式

二、“暗度陈仓”病毒技术分析

2.1明修栈道,获取大量手机权限信息

手机软件在首次安装时会提示该应用申请的哪些权限,点击安装即为同意这些权限,可大多数人是不会细心看的,该应用也是利用了这一点,申请了大量不正常系统权限,包括读写收发消息,读写内存数据,读取系统以及软件日志信息,日历,录音,蓝牙,指纹等等百余种权限,该应用申请的具体权限如图2-1所示。

https://image.3001.net/images/20190806/1565084448_5d494b20749a4.png

https://image.3001.net/images/20190806/1565084448_5d494b2099d83.png

图2-1 申请大量权限信息

尽管该软件伪装成换机软件,但申请这么多的系统权限极为勉强,通过追踪我们发现,申请如此多的权限实为保障恶意应用可以顺利运行。

2.2暗度陈仓,私自获取手机型号以及软硬件信息

应用安装之后,从表面看并无明显恶意行为,但我们在后台抓取数据时发现该软件已经将手机的软硬件信息发送到以下网址,如下图所示

http://bs.g***hu.com/app/querylist/myapp_manage/

https://image.3001.net/images/20190806/1565084449_5d494b2191442.png

图2-2 获取手机型号等信息

https://image.3001.net/images/20190806/1565084450_5d494b2259b12.png

图2-3 获取手机已安装APP信息

https://image.3001.net/images/20190806/1565084450_5d494b227f684.png

https://image.3001.net/images/20190806/1565084455_5d494b27ddc87.png

图2-4 获取已安装包名信息

2.3瞒天过海,利用远程服务器信息判断手机内安全软件情况并安装APK

该应用在发送手机内软件信息的同时,还会通过下面的网址返回一些主流杀毒软件的包名进而判读手机是否有安全软件信息,进而安装APK

http://ky.****.com/active/security/

https://image.3001.net/images/20190806/1565084450_5d494b22b92b0.png

图2-5 返回主流杀毒软件列表

https://image.3001.net/images/20190806/1565084451_5d494b23b43e4.png

图2-6 返回安装APP信息

软件在下载之后并没有调用安卓系统自带的安装管理器询问用户进行安装,而是通过调用libhuanji.so所对应的java层代码,通过InstallPackage函数在用户不知情的情况下进行安装

https://image.3001.net/images/20190806/1565084451_5d494b23eb4ef.png

图2-7 调用InstallPackage函数安装apk

2.4李代桃僵,私自传播恶意APK,利用恶意apk模拟用户点击浏览器

我们在上述返回的一系列app中发现了照片银行系列app,com.cx.photo2与com.cx.photo6,经过分析此系列样本基本为同一样本,此样本在运行的开始会判断手机是否有安全软件信息,这极大的提高了存活率,之后会创造透明窗口置顶,模拟用户点击广告信息,如下图所示

http://cache.g****u.com/aa/565f8cbc-6e8f-4115-9c9f-bf94046d3257.apk

https://image.3001.net/images/20190806/1565084452_5d494b2419465.png

图2-8 返回照片银行软件信息

https://image.3001.net/images/20190806/1565084453_5d494b25078a2.png

图2-9 判断安全应用

https://image.3001.net/images/20190806/1565084453_5d494b25399e1.png

https://image.3001.net/images/20190806/1565086365_5d49529da8d9c.png

图2-10 创建模拟用户点击的webview

同时我们在软件的内部发现了一些推送的以及安全类的库,在创建完相关webview的同时会触发推送广告,进而消耗大量流量信息

https://image.3001.net/images/20190806/1565084454_5d494b2660324.png

图2-11 极光推送等库

https://image.3001.net/images/20190806/1565084454_5d494b26979be.png

图2-12 消耗大量网络流量

2.5无中生有,私自创建快捷方式

病毒在使用过程中会私自创建快捷方式,属流氓行为,如下图所示 。

https://image.3001.net/images/20190806/1565086275_5d495243d3c68.png

图2-13 创建快捷方式

三、解决方案

建议用户提高警觉性,使用软件请到官网下载。到针对的应用商店进行下载正版软件,避免从论坛等下载软件,可以有效的减少该类病毒的侵害。关注”暗影实验室”公众号,获取最新实时移动安全状态,避免给您造成损失和危害。

用户应避免开启过多敏感权限,可以在手机设置里面关闭一些不必要的权限。

对于已经安装过软件的用户,可以先卸载有启动图标的外壳程序,再进入手机应用管理或使用手机管家软件,在应用管理中找到名称为“com.cx.huanji.”的应用进行卸载。

安全需要做到防患于未然,可以使用恒安嘉新公司的APP威胁检测与态势分析平台进行分析对Android样本提取信息并进行关联分析和检测;

用户发现感染手机病毒软件之后,可以向“12321网络不良与垃圾信息举报受理中心”或“中国反网络病毒联盟”进行举报,使病毒软件能够第一时间被查杀和拦截。

*本文作者:暗影安全实验室,转载来自FreeBuf


打赏我,让我更有动力~

0 条回复   |  直到 2019-8-26 | 1306 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.