躲不掉的红色炸弹,这次真的「爆」了
声明:本文由【MS509 Team】成员expsky原创,仅用于技术交流分享,禁止将相关技术应用到不当途径。
收到朋友的婚宴请帖后通常都要破费,而且不便躲避,所以请帖也俗称红色炸弹,而这次的红色炸弹真的就爆了!
上面是发生在本月的一条短信,如果你从朋友那里收到如上这样一条短信,点击里面的电子请帖链接,会下载一个APK软件,如果继续点击了这个APK文件而且你又是安卓手机的话,那么你真的中弹了。
0×01 样本逆向分析
逆向了该手机木马样本绝大部分功能,让我们一起来看下红色炸弹是怎么爆炸的。
反编译出来的代码经过了混淆,木马主要功能就在这些没有函数符号名混淆了的代码里。
1)窃取用户短信和通讯录数据
这些配置信息主要包括:
用于远程控制的手机号码、接收受害者联系人和短信隐私数据的邮箱帐号和密码、木马存活的截至日期(超过截至日期后,木马将不再工作),另外还有很多布尔值的状态参数,比如是否已经发送过联系人和短信数据,是否已激活设备管理器权限等。
获取DeviceId、型号、系统版本等手机设备信息。
接下来就是样本的主功能,首先是窃取短信和联系人数据:
2)启动名为com.phone.stop6.service.BootService的服务,劫持短信
解析远控短信命令:
短信钩子函数首先判断收到的短信是否来自于攻击者的手机,如果是来自攻击者则解析远控命令(远控命令以空格分为多个字段,第一个字段为命令控制字,后面为命令参数)。
如果短信不是来自攻击者,则根据设置的监听等级来判断是否将短信转发给攻击者
短信远控命令有三个:
命令LJ:配置短信监听等级,参数ALL表示全部监听;参数SOME表示部分监听;参数NO表示不监听 命令LOOK:参数TIME表示查询初始设置的木马存活期限;参数PHONE表示查询手机的DeviceId,系统版本等设备信息 命令SEND:控制受害者手机发送短信,参数1为发送到的手机号,参数2为发送的短信内容
为了让接收远控短信神不知鬼不觉,会设置手机静音并关闭震动,而且会删除掉攻击者发来的远控短信
3)木马主要行为流程
0×02 木马的技术对抗、诱骗行为
除了前面提到的木马会隐藏桌面图标,关闭震动并静音,加密配置文件外还有多种技术对抗和诱骗行为
1)通过诱骗受害者激活设备管理器,并利用设备管理器的漏洞,实现无法卸载
利用设备管理器漏洞:继承 DeviceAdminReceiver 重写 onDisableRequested函数,返回恐吓信息,使取消激活对话框弹出,再通过切换Activity使用户无法操作该对话框,就无法取消激活,从而达到无法卸载APP的目的
2)木马运行后,隐藏了桌面图标,再弹出欺骗信息,误导用户以为APP并未安装
3)如果用户尝试卸载APP,弹出欺骗信息后终止卸载
4)发送给木马作者的短信中,过滤掉敏感字眼,增强隐蔽性
5)加密密钥多次拼接,增强密钥隐蔽性
6)动态获取敏感API,避免安全软件静态扫描
0×3 危害性
收信的邮箱账号和密码虽然经过了加密后保存到配置文件里,但仍然可以逆向分析出原始的收信邮箱账号密码
把信收下来,可以发现大量的受害者隐私数据
攻击者远程控制受害者的手机继续群发木马链接,实现蠕虫似传播。
可以构想,攻击者通过筛选银行余额信息,挑选“优质”诈骗对象,对其隐私聊天信息进行深入了解后,实施定向诈骗,成功率和收益都会大幅提高(木马作者可以远程控制双方互发精心构造的短信内容,屏蔽掉指定短信)。
0×04 追踪溯源
通过反查,查到该邮箱下还注册大量的域名,通过黑帽SEO,制作了多种类型的钓鱼网站,诈骗网站。
招嫖欺诈网站:
办假证:
黄色网站,诱骗下载捆绑木马的播放器
赌博欺诈网站
裸聊诈骗
继续追踪
从木马作者收信信箱的登陆日志中发现了杭州、深圳、天津等多个地区的IP,作者应该使用了V**进行登陆,再查询木马及其变种的远控手机号,木马作者在深圳的可能性较大。
通过定位远控手机的位置,肯定是能追踪到具体人的,这些不是我等能做的事情,溯源就此打住……
0×05 尾声
截至撰文此刻,邮箱还会不时地收到受害者的个人隐私数据。该手机木马通过蠕虫似传播,繁殖能力强。
攻击者深入了解隐私数据后,精选“优质”对象进行针对性诈骗危害很大。而且现在很多场景,如账号注册、注销,改密、电话银行身份验证等等都依靠手机接收验证码的形式来进行。
该木马劫持短信,并可通过短信进行远程控制,威胁能力的发挥空间巨大,危害程度全凭攻击者的想象力……
最后建议不要随意点击未知来源的链接,安装APP更要谨慎,只能通过官方或者受信任的应用市场下载安装APP,安装主流的手机安全软件。
*本文原创作者:【MS509 Team】成员expsky,本文属FreeBuf原创奖励计划,未经许可禁止转载