首款利用Firebase云消息傳遞機制的高級間諜軟件

作者：啟明星辰ADLab

1、概述

近期，啟明星辰AdLab追蹤到了一款新出現的Android間諜軟件，經過深入分析我們發現，其功能的豐富程度不亞于2016年發現的針對iOS平臺的“Pegasus”，甚至具有非常大相似之處。與“Pegasus”一樣，該間諜軟件也是一款功能強大的間諜軟件，可實現遠程root提升到最高權限，并且實現了Android層的敏感信息竊取如靜默拍照錄音、竊取通訊錄、監聽短信電話、位置信息、收集WhatsApp、Skype、Facebook用戶信息及聊天數據等等，甚至實現了Linux層面的“反彈Shell”以達到其對目標設備的完全控制。此外，該間諜軟件同樣也被利用來追蹤特定目標人員。

依據樣本關聯分析，我們發現該Android間諜軟件相似樣本在1月16日被卡巴斯基所披露，并被其命名為Skygofree，該間諜軟件目前主要活躍在意大利的邊境上。通過對已有信息和樣本的分析，我們還發現與該間諜軟件相似的多個歷史版本中存在“Negg”公司的簽名；并且間諜軟件內多個內部組件中也同樣出現該公司名稱信息及縮寫。“Negg”（Negg International）公司為意大利一家小型軟件公司，其網站主頁就顯示有計算機證據收集的服務，在2015年該公司發布征聘Android與IOS軟件工程師時就要求應聘者具備“惡意軟件的分析技術”，而正好這一年前后，該類間諜軟件最為活躍。該間諜軟件與“Negg”公司可能具有非常強的關聯關系，并有可能為該公司所開發。據安全研究人員推測，該公司開發該間諜軟件用于協助意大利執法部門抓捕犯罪嫌疑人。

目前發現的這款間諜軟件其最初版本創建于2014年，到2017年該類樣本已經過了3個階段的演進，從最開始的沒有root功能和竊取社交軟件數據庫功能到最新的從遠程服務器下載和釋放惡意負載，利用設備漏洞對感染設備進行root。卡巴斯基對該關聯樣本的root模塊和傳播方式進行了詳細分析，我們的分析重點則放在了該樣本Android端的各個服務和控制的邏輯部分。

2、間諜軟件行為簡介

該間諜軟件是目前所見到的Android平臺上最為強大的惡意應用之一。其除了竊取受害用戶的短信、通訊錄、通話記錄和瀏覽歷史記錄等敏感信息外（其主要惡意行為見圖1），還具有以下幾個特點：

1. 通過無障礙服務（無障礙服務是輔助身體不便或者操作不靈活的人來操作手機應用的，其可被用于監控手機當前活動APP界面，實現對目標界面自動化操作。）進行錄音。為了不被用戶發現，間諜軟件會在有用到麥克風資源的APP正在運行時停止錄音活動。對于Android 4.4W 之前的“HUAWEI”手機，其特別內置了包含“tencent”、“whatsapp”在內的多個頻繁使用麥克風的流行應用白名單。
2. 利用Google Firebase 云消息傳遞服務（Google Firebase 云消息傳遞服務是Google提供的能幫助開發者快速寫出Web端和移動端應用通信的一種服務）對感染設備進行遠控。
3. 下載執行反彈Shell。攻擊者在躲過普通防火墻的檢測并成功拿到反彈Shell后，可以對目標手機進行Linux層面的全面控制。
4. 對感染設備進行定位、強制感染設備連接攻擊者所控制的wifi網絡，對感染設備進行上網流量嗅探和中間人攻擊。
5. 竊取whatsapp、facebook、gmail等社交軟件的本地數據庫文件。攻擊者會利于這些數據對目標人群進行更加細致深入的釣魚攻擊和數據分析，對用戶造成嚴重威脅。

3、傳播方式

該類間諜軟件最早可以追溯到2014年，其主要偽裝成 Vodafone（英國電信公司）或其他通信運營商的登錄頁面進行傳播（見表1）。根據數據回溯發現，2015年是該類間諜軟件傳播最為活躍的一年，并且其傳播活動仍在繼續。最近觀察到的域名登記于2017年10月31日。

4、C&C通信方式

在該類間諜軟件的最新版本中，其除了使用傳統的網絡方式進行命令控制和信息回傳外，還首次使用了Google Firebase云消息傳遞服務來進行控制命令的下發（示意圖見圖2）。

4.1 Firebase云消息傳遞機制利用

Firebase云消息傳遞（Firebase Cloud Messaging，簡稱FCM），也稱Firebase云信息傳遞，前身為Google云消息傳遞（GCM），是一項針對Android、iOS及網絡應用程序的消息與通知的跨平臺解決方案，目前可免費使用。開發者只需要在https://firebase.google.com/上，登錄自己的Google賬戶，經過簡單的設置操作，便可以將Firebase服務配置到自己的移動APP中。完成移動端的APP設置后，開發者就可以在自己的Firebase網頁中選擇對應的APP，并在網頁上編輯發送自定義的Message。客戶端則會以Notifications的方式接收這些Message。

不幸的是，該項技術這次被使用到了間諜軟件中。攻擊者利用Firebase實時云服務發送惡意命令（分析后的命令和含義列見表2），感染設備端，間諜軟件則對惡意命令進行接收和解析執行（圖3）。

為了確保感染設備能及時收到Google推送信息，方便攻擊者進行Firebase云消息遠控，攻擊者創建了定時任務，每隔1分鐘，通知Google保持長連接（見圖4）。

4.2 以短信方式下達控制指令

間諜軟件注冊了一個短信廣播，用來監聽感染設備新收到的短信。一旦發現短信中出現有特定的控制指令，就會執行相應的設置（見圖5）。短信控制指令參見如表3。

從表3中我們可以看到，控制指令1是通過http協議來向C&C服務器“http://url.plus/Updates/agent/commands”請求和執行命令，命令與Firebase云消息傳遞所使用的命令相同（見表1）。攻擊者在開啟感染手機的蜂窩網絡（控制指令2）和wifi后（控制指令3），會為感染手機添加和配置其所控制的惡意wifi（控制指令4和圖6），最后強制感染手機連接（控制指令5）。該間諜軟件可以結合其所獲取的位置信息對感染設備進行遠程定位追蹤，并在目標到達攻擊者預期的位置附近，強制感染設備連接由攻擊者所控制的wifi網絡，進而對嫌疑人的手機進行上網流量嗅探和中間人攻擊。由此可見，間諜軟件的控制者事先已經知道了目標特定活動區域，并且在這些區域進行一定量的wifi的布置，以期達到進一步攻擊的目的。

5、利用無障礙服務進行語音監聽

無障礙服務是Android官方推出幫助身體不便或者操作不靈活的人來輔助操作手機應用的，其可以被用于監控手機當前活動APP界面，對界面進行自動化操作。但該服務卻被頻繁的用于黑色或灰色目的，比如被用于免root自動安裝、語音監聽、自動搶紅包、防卸載、瀏覽器劫持等技術，當前我們所分析的這款間諜軟件同樣也是利用無障礙服務的這種特性進行錄音監控。

為了達到隱秘錄音防止被用戶發現的目的，其內置多個白名單，一旦發現當前活躍的APP進程存在于白名單中就會停止錄音活動。其中一個白名單主要用于Android 4.4W之前的“HUAWEI”手機，其白名單中主要包含了流行的社交應用及與語音視頻有關的系統應用，社交應用有騰訊的QQ和微信、臉書的whatsapp、微軟的skype等等（見圖7、圖8和表4）；對于其他品牌的手機，白名單僅僅包含三款系統APP：“phone”、“dialer”和“sysmanager”。此外，該間諜軟件還會監聽感染設備的來電狀態，當受害用戶接起電話時，就開始錄音（圖9）。

6、惡意攻擊詳細分析

6.1 隱藏自身圖標，防止受害用戶察覺

該間諜軟件運行后，不但會將自身圖標隱藏掉（圖10），而且會激活設備管理員權限（圖11）。這樣，普通用戶很難察覺并卸載掉它，從而達到長期駐留在受害用戶設備中的目的。

6.2 下載執行反彈Shell以實現完全控制

當收到“reverse”命令時，間諜軟件會從遠程服務器 “http://url.plus/Updates/”下載惡意的zip文件，并在本地解壓執行（見圖12和圖13）。經過分析我們發現，解壓后的文件是一個反彈Shell，通過反向連接C&C：54.67.109.199:21070來躲過普通防火墻的檢測。當攻擊者成功拿到反彈的Shell后，其可以對目標手機進行Linux層面的全面控制，包括上傳惡意文件、下載其感興趣的目錄、殺死手機進程、甚至破壞手機系統等惡意行為。

另外，我們還在該間諜軟件的3.7.3版本的lib路徑下發現了適用于多平臺的反彈shell庫（圖14）。

6.3 安裝apk文件

如果收到的命令是“install_apk”，間諜軟件會從攻擊者指定的地址下載apk到感染設備的外部存儲器（圖15），安裝和執行（圖16和圖17）。并且，間諜軟件可以任意打開攻擊者指定的APP，對APP進行操作。這一功能可以實現攻擊者對其他APP的惡意推廣和深度控制。

6.4 回傳社交APP數據文件

在收到命令“social”后，間諜軟件會收集感染設備上流行社交軟件的數據庫文件（圖18），并在其回傳到遠程服務器之前對其進行壓縮和AES加密，目標社交APP和回傳地址參見表5。攻擊者得到感染用戶的社交APP數據庫文件后，會利用解密后的受害用戶的登錄憑證和社交關系數據進行更加細致深入的釣魚和攻擊，對用戶造成嚴重威脅。

6.5 回傳感染設備硬件信息

命令“info”則表示間諜軟件會收集感染設備硬件相關信息（見圖19），其將硬件相關信息收集好后，AES加密上傳到遠程服務器（見圖20）。收集到的設備信息如表6所示。

我們注意到，間諜軟件上傳的設備信息包括感染設備的型號和是否root信息（見圖21），根據代碼中多處操作需要root權限推測，攻擊者會針對未root的感染設備下載對應的root組件，來對感染設備進行root，繼而對感染設備實施進一步更高權限的侵害。已發現的漏洞利用負載共有3個文件，文件名分別是“poc”、“db”和“device.db”。其中，“poc”是漏洞利用的ELF文件，“db”是Sqlite3工具，“device.db”是exploit使用的數據庫，包含漏洞利用程序支持的機型和對應的漏洞利用內存地址信息。目前發現該負載可利用漏洞有CVE-2013-2094、CVE-2013-2595、CVE-2013-6282、CVE-2014-3153和CVE-2015-3636（來自卡巴斯基）。

6.6 回傳感染設備其他文檔

如果是“filelists”命令，間諜軟件就竊取感染設備sd卡目錄樹信息到遠程服務器（見圖22），當攻擊者獲取到感染設備的存儲文件和安裝APP等信息后，就可以遠程指定文件名。間諜軟件的文檔回傳服務負責回傳攻擊者指定的文檔（圖23）。

6.7 回傳受害用戶敏感信息

當收到“registro_chiamate”、“camera”、“history”等命令時，間諜軟件會竊取受害用戶幾乎所有的敏感信息，其中包括受害用戶手機上的短信內容、通訊錄、通話記錄、瀏覽器上網記錄、安裝的APP列表等，間諜軟件甚至會利用受害用戶手機進行拍照，回傳照片。首先，間諜軟件會將竊取到的目標敏感信息按照自定義的格式保存在自身應用的/cachel2目錄下；然后，在利用統一的網絡接口發送前進行AES加密并發送；最后，再對之前保存的臨時文件進行刪除，以防止用戶察覺。圖24和圖25是回傳通話記錄的代碼，其他的竊取目標和臨時保存的文件名見表7。

6.8 回傳定位信息

除了竊取受害用戶的主要敏感信息，該類間諜軟件還會對受害用戶進行GSM（移動、聯通）或者CDMA（電信）基站定位和GPS定位，再將定位信息回傳到遠程服務器（見圖26和圖27），受害用戶的整個行為幾乎完全掌控在攻擊者手中。

7、總結及建議

雖然該間諜軟件目前主要針對意大利用戶，但也不排除后續針對其他國家實施攻擊的可能。用戶除了對熱門的APP下載和更新不能大意外，對系統自帶的APP的更新也應保持警惕。建議用戶不要輕易點擊短信中的不明鏈接，不要安裝不明來源的APP。對申請可疑權限尤其是短信讀寫、打電話以及需要激活設備管理器的APP要特別留意，涉及到金錢的操作要格外謹慎。遇到操作異常，應當及時使用殺毒軟件查殺或找專人處理。目前，互聯網上也充斥著形形色色的第三方APP下載站點，很多甚至成了惡意應用的批發集散地，提醒用戶盡量從官網下載所需APP應用，在不得不從第三方站點下載軟件時，要高度保持警惕，認真甄別，防止誤下惡意應用給自己造成不必要的麻煩和損失。

參考鏈接： https://securelist.com/skygofree-following-in-the-footsteps-of-hackingteam/83603/

啟明星辰積極防御實驗室（ADLab）

ADLab成立于1999年，是中國安全行業最早成立的攻防技術研究實驗室之一，微軟MAPP計劃核心成員。截止目前，ADLab通過CVE發布Windows、Linux、Unix等操作系統安全或軟件漏洞近400個，持續保持國際網絡安全領域一流水準。實驗室研究方向涵蓋操作系統與應用系統安全研究、移動智能終端安全研究、物聯網智能設備安全研究、Web安全研究、工控系統安全研究、云安全研究。研究成果應用于產品核心技術研究、國家重點科技項目攻關、專業安全服務等。

本文由 Seebug Paper 發布，如需轉載請注明來源。本文地址：http://www.bjnorthway.com/554/