Silver

黑夜无论怎样悠长,
白昼总会到来。
——莎士比亚《麦克白》, from here

对某Android木马样本的简要分析

Last updated:Mar.28, 2016 CST 20:21:01

样本介绍:

样本名称:结婚请柬.apk
捕获渠道:手机短信 点击链接下载
捕获日期:1/19/2016
文件大小:329674 bytes
SHA256: 620CD55EF6E709F3B5B2625F9F425613C65929F7643923C9C816A29FFBAF3CBD
SHA1: A60D4ACD69BDAF04B0BF841F2EB5A10CCDF2BECA

内容分析

直接对apk解包,发现其没有进行混淆,便于直接分析。

从资源文件中可以看到,该木马获取的主要权限有:收发、拦截短消息;读写通话记录;读取联系人;向SD卡中写入文件。另外,通过将自己置为短信广播的接受者,在收到短信时触发对应动作。该木马还将自己注册成为开机自启动项目,并定时唤醒,以达到随时活动的目的。此外,该木马还将自己添加为设备管理器,以防止自己被卸载。

申请权限
短信广播
开机自启动
申请设备管理器

安装完成后,首次启动程序时,会启动附带的服务,并试图激活设备管理器。同时,将会删除自己在主屏幕上的图标,隐藏自身。

申请设备管理器
启动服务

服务端首次启动时,会向控制者的手机发送短信和IMEI。同时,通过邮件向控制者指定的邮箱发送消息。

服务端上线提示

服务端通过短信接受控制者的指令。当发送短信开头为特定组合时,将会执行不同的命令,如:开通或取消呼叫转移业务、获取短信、获取通讯录、短信拦截等。

控制指令解析

设定了短信拦截后,特定来源的信息将会被直接拦截,并发送到预置的手机号。
由于攻击者的邮箱密码明文置入到了木马中,因此我们可以直接看到众多受害者的资料。从中可以发现,有一部分受害者已经经受了经济损失。

包结构
信箱
信箱数量
短信拦截后转发

其他情况

某受害者收到一条的短信如下:

主要传播途径

其中,受害人名称与其真实信息一致。短信链接指向电信云公共存储服务中的某文件,其内容为本病毒的apk文件。同时,我们在控制者的网盘帐号中,也看到了相同的病毒文件。

从收件箱收到的短信看,这款木马于1月13日上线,迄今收到320封信件,其中有效受害者约20名。被植入木马的受害者中,大部分位于北京、广州等地。而与发件人相关的手机号码共三个,其中,159****3474和132****6895为张哲所有,135****3441为*煜鹏所有,二人主要活动地点可能位于广东省深圳市,且可能为常住人口。此外,从代码风格看,该款木马可能是由有多名(至少两名)一定基础的初学者自行开发。

这款木马没有采用反混淆手段,在系统中的隐藏痕迹并不明显,可认为该款木马主要目标为零基础的智能手机用户。结合木马获取的资料分析,中招人群多数为经理、官员等,尤其是平时对计算机接触不多的普通用户。

总结

可以推测,控制者利用短信群发平台或伪基站等手段,以已有的社工库为基础,向受害者发送包含病毒链接消息。用户如果不小心下载并执行病毒文件,则所有短信和通话均有可能被拦截,导致受害者经受经济损失。此外,通过获取受害者的通讯录,可以对已有受害者的朋友、家属等,展开新一轮相同的攻击。更危险的是,对特定受害者的通讯录、短信进行具体分析,有可能采用诈骗电话等手段进行进一步攻击。

我们建议,一般的手机用户应自行安装安全防护软件,并提高安全警惕,拒绝下载、安装来源不明的软件安装包,并定时清理手机病毒。

Contact webmaster at:
[email protected]