本月第二次,Google 從官方應用商店 Google Play 中移除了偽裝成合法程序的惡意應用。被移除的應用都屬于名叫 Ztorg 的 Android 惡意程序家族。目前為止,發(fā)現(xiàn)的幾十個新的Ztorg木馬的變異程序,無一例外都是利用漏洞在受感染的設備上獲得root權限。

但是卡巴斯基實驗室的安全研究人員發(fā)現(xiàn),在2017年5月下旬以來,在最新捕獲的Ztorg木馬(Magic Browser、Noise Detector)的變異程序中,卻發(fā)現(xiàn)它們并沒有使用設備的root權限。黑客利用了惡意木馬,在感染的設備中發(fā)送付費短信(Premium Rate SMS)并立即刪除,用戶資金在不知不覺中被竊取。

什么是Premium Rate SMS?

Premium Rate SMS是一種付費短信模式,通過發(fā)送特殊的文本信息,用戶自動扣費。例如通過手機短信捐款,辦理付費業(yè)務等。最新ztorg木馬利用該模式來牟利,這項技術讓黑客的利益最大化,并降低了被發(fā)現(xiàn)的風險。

Ztorg為何這么難被檢測到?

多模擬器檢測功能,它可以檢測到Android SDK模擬器,如genymotion,BlueStacks, buildroid。它還檢測設備感染環(huán)境,這些檢測很難被繞過。 使用基于XOR的字符串混淆。 采用DES-CBC加密遠程服務器進行通信。 從遠程服務器下載、安裝和啟動Android應用程序。 自去年 9 月以來,Ztorg 惡意木馬大約 100 次繞過 Google 的自動化惡意程序檢查程序進入官方應用市場。被稱為 Magic Browser 的 Ztorg 惡意應用下架前被下載量超過 5 萬次。

 另一款叫 Noise Detector 的應用被下載了超過 1 萬次,上個月被移除的 Privacy Lock 下載量超過百萬。

Ztorg攻擊過程分析

惡意程序啟動后,木馬將休眠10分鐘,然后連接到命令和控制(C&C)服務器。這樣如果用戶發(fā)現(xiàn)了一些奇怪的東西,他們就不太可能把它與剛剛安裝的應用程序聯(lián)系起來。

Ztorg木馬從C&C獲取命令使用了一個有趣的技術,它向C&C提供兩個GET請求,其中包括國際移動用戶識別碼(IMSI)。第一個請求如下所示:

GET c.phaishey.com/ft/x250_c.txt(其中250 - IMSI的前三位數(shù)字)

如果木馬收到一些響應數(shù)據(jù),將會發(fā)出第二個請求。第二個請求如下所示:

GET c.phaishey.com/ft/x25001_0.txt(其中25001 - IMSI的前五位數(shù)字)

為什么需要國際移動用戶識別碼(IMSI)?

IMSI的有趣之處在于前三位數(shù)字是MCC(移動用戶所屬國家代號),第三位和第四位是MNC(移動網(wǎng)號碼)。使用這些識別碼,攻擊者可以識別受感染用戶的國家和移動運營商,準確的選擇應該發(fā)送哪類付費短信。

在對這些請求進行響應時,木馬可能會收到一些加密的JSON文件,其中包含一些數(shù)據(jù)。此數(shù)據(jù)應包括offer列表,每個offer均包含一個名為“url”的字符串字段,可能包含也可能不包含實際的網(wǎng)址。木馬將嘗試使用自己的類打開或查看該字段。如果這個值確實是一個真實的url,那么木馬會向用戶顯示其內(nèi)容。但是如果它是假的url,就會帶有一個短信字樣的子串,要求用戶回復一個短信,其中就包含提供的號碼,如下圖,

令人意想不到的是,當服務器收到網(wǎng)址訪問或短信后,木馬將關閉設備聲音,并開始刪除用戶收到的所有短信。

雖然我們無法獲得在Google Play傳播的木馬的任何命令,但是通過對其他具有相同功能的木馬程序的分析,我們得到了以下命令:

{“icon”:”http://down.rbksbtmk.com/pic/four-dault-06.jpg”,”id”:”-1″,”name”:”Brower”,”result”:1,”status”:1,”url”:”http://global.621.co/trace?offer_id=111049&aff_id=100414&type=1″}

這是一個常規(guī)的廣告offer。

WAP付費訂閱

我們在Google Play商店及其他正規(guī)的應用商店發(fā)現(xiàn)相同功能的許多惡意app。有趣的是,它們看起來不像獨立木馬程序,更像是一些木馬程序的附加模塊。進一步研究發(fā)現(xiàn),這些木馬是由一個常規(guī)的Ztorg木馬和其他Ztorg模塊一起組合而成。

在其中一些木馬中,我們發(fā)現(xiàn)它們使用MCC從惡意網(wǎng)址下載了一個JS文件。

于是,為了分析,我們下載了幾個JS文件,它們使用了不同的MCC,可以推斷這些攻擊者是來自不同國家的用戶。由于無法獲取美國MCC的文件,所以只能嘗試從其他國家獲取的MCC文件中找到一些功能相似的文件。我們發(fā)現(xiàn),所有的文件都包含一個名為“getAocPage”的函數(shù),它最有可能是AoC(收費通知)。在分析這些文件后,我發(fā)現(xiàn)他們的主要目的是通過WAP計費對網(wǎng)頁進行點擊攻擊。在進行攻擊時,木馬可以從用戶的移動帳戶竊取資金。 WAP帳單的攻擊方式與付費短信類似,區(qū)別就是它采用了訂閱付款的形式,而不是一次性詐騙,下圖就是,來自俄羅斯用戶的CnC的JS文件(MCC = 250)

這意味著該木馬從CnC收到的網(wǎng)址不僅可以是廣告網(wǎng)址,還可以是帶有WAP付費訂閱的網(wǎng)址。此外,一些使用包含“/ subscribe / api /”CnC URL功能的木馬程序,也可能參考付費訂閱的功能。

所有這類木馬,包括來自Google Play的木馬,都在嘗試從任意設備向用戶發(fā)送短信。為此,黑客使用大量方法來發(fā)送短信,以下就是 “Magic browser”應用程序的部分代碼。

總而言之,從上述代碼我們可以發(fā)現(xiàn),黑客為了能夠從不同的Android設備和版本來發(fā)送短信,試圖從11個不同的地方向受害者發(fā)送短信。此外,我們還找到另一個變異過的SMS.AndroidOS.Ztorg木馬的惡意程序,試圖通過“am”命令發(fā)送短信,雖然這種方法并沒有行得通。

短信木馬與Ztorg惡意軟件家族的關系

“Magic browser”惡意應用程序的升級方式與Ztorg木馬程序類似?!癕agic browser”和“Noise Detector”應用程序與其他Ztorg木馬共享了許多相似之處的代碼。此外最新版本的“Noise Detector”在assets folder的安裝包中包含加密文件“girl.png”,解密后,此文件就會變?yōu)閆torg木馬。

我們發(fā)現(xiàn)了幾個常規(guī)Ztorg木馬和其他Ztorg模塊一起安裝,具有相同功能的木馬程序。而不是像“Magic browser”將附加的Ztorg模塊作為獨立木馬在Google Play傳播。2017年4月,我們發(fā)現(xiàn)一個名為“Money Converter”的惡意木馬已經(jīng)在Google Play上安裝了上萬多次。它使用Accessibility Service安裝Google Play的應用程序。因此,即使在無法獲得root權限的設備上,木馬程序也可以靜默安裝、運行并升級惡意應用程序,無需與用戶進行任何交互。

root權限攻擊演變到短信木馬攻擊

雖然“Magic browser”和“Noise Detector”惡意應用程序使用了相同的功能,但是我們認為它們各有不同的用途。前者上傳時間較早,我們認為黑客只是在檢測能否上傳此類惡意應用程序,上傳成功后,它們并沒有更新版本。但是后者不同,它看起來像黑客試圖上傳受常規(guī)Ztorg木馬感染的應用程序。但是在上傳過程中,他們決定增加一些惡意功能來賺錢?!癗oise Detector”的更新歷史證明了這一點。

5月20日,黑客上傳了一個名為“Noise Detector”的清理app。幾天后,他們更新一個未感染的版本。然后,他們上傳了一個包含加密ztorg木馬的版本,但是無法解密和執(zhí)行。緊接著第二天,他們終于更新了短信木馬的功能,但仍沒有增加解密和執(zhí)行的Ztorg模塊。很可能,如果該應用尚未從Google Play中刪除,則他們將在下一階段添加此功能,還有一種可能是,即嘗試添加此功能時被Google發(fā)現(xiàn)了木馬的存在,并導致其被刪除。

總結

我們發(fā)現(xiàn)了一個非同尋常的短信木馬通過Google Play傳播。它不僅使用十幾種方法來發(fā)送短信,而且還以特殊的方式初始化這些方法:使用來自CNC命令來處理網(wǎng)頁的加載錯誤。并且它可以打開廣告網(wǎng)址,此外它與具有相同功能的Ztorg惡意軟件相關,通常由Ztorg作為附加模塊安裝。

通過分析這些應用,我們發(fā)現(xiàn)黑客通過點擊攻擊來劫持WAP付費業(yè)務。這意味著該木馬不僅可以打開廣告鏈接,發(fā)送付費短信,還可以通過WAP付費業(yè)務打開網(wǎng)頁并從賬戶中盜取資金。為了隱藏這類活動,木馬會關閉設備聲音并刪除所有收到的短信。

這不是Ztorg木馬第一次在Google Play上傳播,例如在4月份他們就上傳了一個模塊,可以點擊Google Play商店應用按鈕安裝甚至購買這些推廣應用。

http://www.cnblogs.com/alisecurity/p/7065991.html