菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。
1. 靠山
2021年3月初,暗影实验室就发现了几个针对西班牙投放的移动端木马,这些木马从代码结构,到主控地址,到安装名称,再到针对的工具都是极其相似,这是一个有具有针对性的木马流传事宜,APP通过仿冒西班牙邮政快递及国际着名快递诱导用户安装使用,从而获取用户装备上的种种敏感信息。
本次发现的APP大致分为两类:一类是仿冒西班牙邮政快递(Correos),一类是仿冒国际着名快递(DHL、FedEx)。
此类木马针对安卓5.0系统到安卓9.0系统,危害局限对照大。需要注重的是,此类木马在启动后,会诱骗用户开启无障碍辅助服务(AccessibilityService)。此服务设计初衷在于辅助残障用户使用android装备和应用,在后台运行,可以监听用户界面的一些状态转换。木马通过此服务监听用户手机界面转变,制止用户查看应用程序列表,阻止用户卸载此应用。一样平常用户极难卸载此类木马。
仿冒西班牙邮政快递及国际着名快递的木马通过相同或者相似的安装图标及安装名称诱导用户下载安装,然后通过开启无障碍辅助服务之后,后台获取用户装备上的短信及联系人等信息上传到服务器。
2. 木马剖析
2.1 信息汇总
本次发现的APP主要伪装成西班牙邮政快递应用、国际着名快递应用。
MD5 |
安装名 |
图标 |
更低兼容版本 |
74F88D5480AEFE165721C36100DCF89A |
DHL |
Android5.0 |
|
CBCEE88707CD523D7F1131F26E9DD4AF |
Correos |
Android5.0 |
|
CBCEE88707CD523D7F1131F26E9DD4AF |
Correos |
Android5.0 |
|
1A2A4044CF18EED59E66C413DB766145 |
FedEx |
Android5.0 |
|
B991622168F7787CB1A89FC2BDD38A30 |
FedEx |
Android5.0 |
2.2 运行剖析
运行本次发现的木马发现界面极其简朴,仿冒西班牙邮政快递、全球著名快递的APP应用图标、应用名称均与快递公司官网图标相似,用户难以区分真伪。
图1-1 仿冒图标
木马启动后诱导用户开启无障碍辅助服务,隐藏图标,并监听用户界面,防止卸载。
图1-2 请求开启无障碍辅助服务并隐藏图标
除此以外,仿冒APP均由随机字母组成的域名前缀加上.ru或者.com域名后缀组成多个域名并启动多个线程举行上传用户隐私信息。
图1-3 随机字母组成域名
通过抓包,发现了多个域名:
图1-4 抓包数据
域名如下:
· http://egus****rrmqvj.ru/poll.php
· http://pde****holjjkn.com/poll.php
· http://lnnr****cbmdhn.com/poll.php
· http://icim****dffbr.com/poll.php
· http://bm****ttkswfh.com/poll.php
· http://we****pgfumtk.com/poll.php
· http://bfw****cedupj.com/poll.php
· http://nfiu****tasnuk.com/poll.php
· http://afh****cjbpln.com/poll.php
· http://uh****ablfmwm.com/poll.php
· http://ao****wqhuokpd.ru/poll.php
· http://ap****drpokfbc.com/poll.php
· http://gb****vsgkvkdh.ru/poll.php
经太过析,发现只有4个域名还能举行接见:
图1-5 有用域名
IP地址均位于境外。
http://egusn****rmqvj.ru/poll.php |
德国 |
http://wenk****gfumtk.com/poll.php |
美国 |
http://nfiue****snuk.com/poll.php |
法国 |
http://gbm****sgkvkdh.ru/poll.php |
美国 |
2.3 指令剖析
2.3.1 指令获取
木马通过向指定域名上传用户装备的一些基本信息来下发指令。
图1-6 服务器下发指令
在获得服务器发送的指令后,程序凭证指令举行差其余操作。
图1-7 剖析指令
2.3.2 oder指令
木马指令举行了一定水平的加密混淆,使剖析木马对照难题。
图1-8 指令经由加密混淆
经由测试举行解密后获得指令内容。
图1-9 解密后指令
下图是差异功效的order指令,一共十二种。
1)BLOCK
收到该指令后,程序会住手50秒:
图1-10 程序休眠指令
2)CARD_BLOCK
收到该指令后,启动一个新的线程开启SOCK客户端:
,菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。
图1-11开启SOCK客户端
3)OPEN_URL
收到此指令后,程序会打开指定内容的界面:
图1-12 打开指定界面
4)RUN_USSD
收到该指令后,程序启动无障碍辅助服务:
图1-13 启动无障碍辅助服务
5)DISABLE_PLAY_PROTECT
收到该指令,程序关闭装备的GooglePlay Protect功效:
图1-14 关闭装备的GooglePlay Protect功效
6)RELOAD_INJECTS
收到该指令后,获取用户装备已安装应用程序列表并上传到服务器:
图1-15 获取装备已安装应用列表
7)SEND_ *** S
收到该指令后,发送短信到指定号码:
图1-16 发送短信至指定号码
8)GET_CONTACTS
收到该指令后,获取用户的通讯录并上传到服务器:
图1-17 获取用户装备通讯录
9)UNINSTALL_APP
收到该指令后,卸载用户装备上指定的app:
图1-18 卸载装备指定应用
10)CARD_BLOCK
收到该指令后,弹出窗口获取用户信用卡信息:
图1-19 窃取用户信用卡信息
11) *** S_INT_TOGGLE
收到该指令后,替换用户默认短信程序:
图1-20 弹框提醒用户
2.3.3 上传服务器地址
现在发现上述指令文件上传的服务器地址有许多个,程序启动后就会一直的举行上传用户装备信息。短短几分钟就到达一百多条上传数据包,域名划分通过随机字母数组随机组成,然后拼接域名差其余后缀举行发送,程序获取指令后举行差其余操作。服务器链接乐成的地址为四个,划分如下:
· http://egus****rrmqvj.ru/poll.php
· http://wen****pgfumtk.com/poll.php
· http://nfi****tftasnuk.com/poll.php
· http://gbm****sgkvkdh.ru/poll.php
服务器链接失败的地址如下:
· http://pde****holjjkn.com/poll.php
· http://lnn****stcbmdhn.com/poll.php
· http://ici****cudffbr.com/poll.php
· http://bmp****ttkswfh.com/poll.php
· http://bfw****icedupj.com/poll.php
· http://afh****cjbpln.com/poll.php
· http://uhl****ablfmwm.com/poll.php
· http://aog****qhuokpd.ru/poll.php
· http://apd****rpokfbc.com/poll.php
3. 服务器威胁情报信息
序号 |
木马(C&C)域名 |
IP地址 |
归属地 |
用途 |
近期发现时间 |
1 |
egus****rmqvj.ru |
47.91.***.36 |
德国 |
木马回传信息地址 |
2021-03-17 |
2 |
wenk****gfumtk.com |
173.231.***.124 173.231.***.8 35.205.***.67 |
美国 |
木马回传信息地址 |
2021-03-25 |
3 |
nfiu****tasnuk.com |
51.254.***.105 |
法国 |
木马回传信息地址 |
2021-03-25 |
4 |
gbms****gkvkdh.ru |
206.191.***.37 206.191.***.42 |
美国 |
木马回传信息地址 |
2021-03-25 |
4. 总结
本次捕捉的木马可以看出来此类木马举行了加固并对代码大量的加密混淆,妄想加大病毒剖析职员的剖析难度。病毒接纳开启无障碍辅助服务后台运行防止用户卸载,海内也只是通过此服务来开发抢红包功效,可见病毒制作者的狡诈水平。通过仿冒西班牙邮政快递及全球着名快递,虽然仿冒西班牙邮政快递应用针对的是西班牙境内,然则仿冒全球着名快递应用,也极有可能流传到我国。
君子以思患而豫防之,今天木马泛起在西班牙,明天就有可能泛起在我国。我们应时刻关注国际海内手机平安事态,恒安暗影实验室也会不停监测,为 *** 平安、移动平安出一份力。
:
网友评论