近日, 国外某安全公司发现一种新型银行木马病毒 MySteryBot Android, 该病毒为银行木马 LokiBot Android 的变种, 其恶意行为除了利用银行木马窃取金融信息外, 还包括恶意监视键盘, 植入勒索软件进行勒索操作. 经分析发现该木马病毒已适配 Android7.0 和 Android 8.0, 一旦被恶意传播, Android7.0 和 Android 8.0 的所有设备均有被感染的可能. 鉴于此, 通付盾移动安全实验室对 MySteryBot Android 病毒进行了深入分析, 以下为详细分析内容.
一, 样本信息
程序名称 :MysteryBot
MD5: 9eeeaa4f33ed24b33cd40a21637734bc9b4caeb2
病毒名称: install.apps
应用图标:
图标
恶意行为描述: 该程序中包含恶意代码, 通过伪装成 Android flash, 诱导用户下载, 从而提高装机量. 安装后恶意获取设备管理员权限, 用户无法正常卸载, 在后台持续运行; 私自将用户联系人, 短信等隐私信息上传到远程服务端; 监听用户键盘, 执行勒索操作, 具有私自发送短信, 拨打电话等恶意扣费行为.
典型样本信息如下:
SHA256 | 程序名 | 包名 |
---|---|---|
62a09c4994f11ffd61b7be99dd0ff1c64097c4ca5806c5eca73c57cb3a1bc36a | Adobe Flash Player | install.apps |
334f1efd0b347d54a418d1724d51f8451b7d0bebbd05f648383d05c00726a7ae | Adobe Flash Player | install.apps |
0963bc9fbb6747e9475c94bb0387b7f4e444ff557dcd0fc81822dce7fab4c3e9 | Adobe Flash Player | dddddddd.ssssss.hhhhhh.ggggggggg |
该木马病毒首先在 AndroidManifest.xml 文件中病毒申请了一系列与恶意行为密切相关的权限:
image
此外还注册了各种 receiver 用来监听系统消息:
image
深入分析完成开发的 Boot,SmsBroadcast,Scrynlock, 其中 Boot 主要用来在屏幕未唤醒的情况下继续运行, 如果 CommandService 没有启动, 则启动 CommandService 之后屏幕变亮; SmsBroadcast 中, 当有 Android.provider.Telephony.SMS_RECEIVED 意图时候, 最终按照 { "action": "log", "params": {"imei": "%s","type":"sms","text": "%s: %s"}} 的格式将 Android 设备 ID, 短信来源, 短信内容格式化, 并 base64 编码, 最后组成 http://89.42.211.24/site/gate.php?i=base64 字符串 这样的格式, 连接远程服务器, 同时唤醒屏幕; Scrynlock 实现了一个 Admin 的设备管理, 同时会用 webview 加载这个 http://89.42.211.24/site/inj/test/?p=imei, , 并向 / storage/sdcard0/sslocks.txt 文件中写入 + 1, 其次该病毒还对 Home 健监听和通过对手势进行判断执行触屏按键监听, 该组件目前处于正在开发阶段, 暂未工作.
其中 SmsBroadcast 的关键代码如下:
image
三, 恶意行为分析
该木马的核心类是 CommandService.class,install.apps.c.class,install.apps.Cripts$mainActivity,install.apps.g.class, 通过对这四个核心类分析后, 获得该木马的核心恶意行为. 该木马的整体恶意流程如下图所示:
image
Step1 : 成为 Admin 的设备管理者和完成自我隐藏
image
Step2: 后台运行的 CommandService, 上传数据和设置 Boot.class 用来监督 CommandService 是否成功运行, 没有则再次启动.
image
设置定时器为 5s, 然后重复执行这些恶意代码
image
判断 / mnt/sdcard / 是否存在 sslocks.txt
image
判断 / mnt/sdcard / 是否存在 dblocks.txt
image
Step3:install.apps.Cripts$mainActivity, 主要是勒索部分, 暂时还没有明确的勒索付费方式.
将联系人和文件压缩在 zip 包中, 并没有将其加密.
image
其次是上传隐私信息到服务器
image
勒索的 html 页面信息
image
按键手势和 Home 键监听广播
image
Step4:install.App.g 主要用来上传用户隐私信息与远控端通信
image
与远控端通信, 远控端发出 action 指令后, 该木马进行执行, 主要是上传用户联系人, 发短信, 打电话, 上传键盘日志等隐私信息.
image
四, 影响范围
通信的 IP 地址可以看出来, 该木马面向的银行主要是中东和欧洲银行. 目前国内相关机构, 暂未发现该木马的行踪, 我们会持续追踪其动态. 木马运行如下:
image
分析总结
该木马建立起了一套完整的远程控制体系, 涵盖了各种远程控制恶意行为, 包括对各种设备硬件信息采集, 短信监控, 以及键盘监听等等, 极大程度上侵犯了用户的个人隐私信息安全, 具有非常强的危害性.
通付盾移动安全实验室目前已实现对该类病毒的检测查杀, 同时相关移动应用检测类产品也已具备对该类恶意应用的检出能力.
来源: http://www.jianshu.com/p/bb8404f95af8