作者:啟明星辰ADLab
一、簡述
啟明星辰ADLab近期發現一款集勒索加密病毒、間諜軟件、銀行木馬于一體的新型Android惡意代碼,其實現了如加密勒索(Ransomware)、鍵盤記錄(keylogger)、遠程訪問木馬(RAT)、短信攔截、呼叫轉移和鎖定屏幕等多種功能。
詳細分析該惡意代碼后發現,該惡意代碼新變種可劫持幾乎涵蓋全世界各大金融機構的手機APP,總數有300多個,涉及中國、美國、英國、日本、中國香港、法國等40多個國家和地區。該惡意代碼還具有勒索軟件的功能,會使用256位對稱密鑰對受害用戶的手機文件進行加密處理,并且以“.AnubisCrypt”作為加密文件的擴展名,同時還偽造了FBI警告界面通知受害用戶以比特幣的方式支付罰金方可對文件進行解密。另外,它還能夠被用于進行網絡間諜活動,例如:監視受感染設備主窗口活動、進行屏幕截圖并發送給攻擊者、使用內置麥克風監聽受感染設備周圍環境中的聲音等等。
二、惡意代碼發現
2018年8月底,啟明星辰ADLab監測到一個當月新注冊的異常Twitter賬戶,該賬戶在Twitter上發布了一些類似用base64編碼的推文。其2018年8月27日發布了兩條似乎完全相同的推文,并且在我們發現當天,又連續發布兩條不同的推文(見圖1)。
我們通過base64解碼這些推文后,仍然看不到任何有意義的數據。因此,我們通過該Twitter鏈接“https://twitter.com/sHybzhzZWJgdbdj”來做關聯分析,并且發現了一些可疑的apk文件,通過分析確認該apk文件為Android平臺下一款危害性極大的惡意APP,并且目前還處于活躍狀態。通過深入分析我們發現,該惡意APP會連接該Twitter鏈接“https://twitter.com/sHybzhzZWJgdbdj”獲取推文,并將其解密成為C&C地址,其解密算法模擬了base64的效果,但并非為base64算法,以此迷惑發現異常推文的分析人員。解密后的字符串如表1所示:
一直到9月2日,黑客刪除了其中的3條推文,只留下最近的一條推文(見圖2)。說明利用該惡意代碼進行的網絡攻擊活動正在進行。
我們注意到,該Twitter賬戶使用了被稱為“全世界最大的騙子”的俄羅斯金融詐騙犯Sergei Mavrodi的照片作為圖像,推測攻擊者很可能是Sergei Mavrodi的粉絲。Sergei Mavrodi(1955年8月11日- 2018年3月26日)生于莫斯科,1989年成立了MMM公司,MMM宣稱以摧毀世界不公正的金融體系為目標,實際上是玩了一個“大眾集資”的龐氏騙局游戲。國內的e租寶、錢寶網等也都被認定是龐氏騙局。在Sergei Mavrodi和其MMM公司將俄羅斯幾乎能騙的人都騙完了之后,2015年Sergei Mavrodi將他的游戲帶入了中國,并且為了躲避監管,Sergei Mavrodi團隊“創新地”將比特幣支付引入了其支付系統,鼓勵投資者使用比特幣進行轉賬交易,并為此特意制作了比特幣掃盲視頻,見圖3。
三、樣本演化
根據樣本關聯分析,我們發現該惡意代碼樣本為Anubis的一個新變種。
2017年1月,安全公司Dr.Web曾發出警告,銀行木馬BankBot的源代碼被公開發布在了一個論壇上。隨后,有網絡犯罪分子利用該源碼創建了安卓銀行木馬Android.BankBot.149.origin,彼時的BankBot還僅是一個典型的銀行木馬,能夠利用網絡釣魚對話框竊取感染用戶手機銀行的敏感信息,如銀行詳細信息和信用卡數據。
2018年3月5日,PhishLabs發現了銀行木馬BankBot的一個新變種,并第一次將其命名為Anubis,Anubis同樣基于BankBot源碼開發,并整合了眾多不同類型惡意軟件的功能于一身。
2018年7月,IBM X-Force的移動惡意軟件研究人員觀察到了大量的Android惡意軟件下載器被上傳到了Google Play。這些惡意軟件下載器會在受感染設備上安裝Anubis。這表明一個特定的惡意軟件分銷商已經從使用Marcher轉向了分發Anubis。
四、功能介紹
Anubis新變種整合了多種類型惡意軟件功能于一身,圖4是其功能示意圖,該變種包含勒索軟件功能、鍵盤記錄功能、RAT功能、短信攔截功能和呼叫轉移功能等。同時,Anubis還可以竊取受害用戶的通訊錄、短信等敏感信息。此外,攻擊者還可以遠程控制受感染設備,利用受感染設備向攻擊者指定的目標發送特定短信。不難想象,攻擊者完全可以對受害者的社交網絡進行全方位滲透和欺詐。
圖5是我們抓取到的該惡意代碼變種和C&C服務器通信的數據包,從圖中可以看出,該變種使用http協議和C&C服務器進行通信,通信數據被加密處理后進行傳輸。我們利用分析出的解密算法對圖中加密數據進行解密,分別得到“aa5193bdfeb39625:(CHINA MOBILE):4.4.4:cn::AOSP on HammerHead (aosp_hammerhead):V::0:0:”和“|OK|”,很顯然是一個木馬上線包。
C&C命令和其附加數據采用同樣的加密方案傳輸,我們將該惡意代碼變種包含的主要C&C命令及其含義歸納到了表2:
五、典型行為分析
5.1、竊取受害者銀行賬戶憑證
Anubis監視目標應用程序啟動,然后使用對應的釣魚屏幕覆蓋掉合法的應用程序以竊取受害者的賬戶憑證(見圖6和圖7),同時會利用短信攔截功能來攔截銀行發送給受害者的所有短信(見圖8),這樣攻擊者就繞過了銀行的雙層身份認證,成功對受害者的財產進行洗劫。
Anubis偽造的釣魚頁面:
惡意代碼將自身設置成默認短信應用,攔截用戶短信:
攻擊者的劫持目標幾乎涵蓋全世界各大金融機構的手機APP,總數達到了300多個,涉及中國、美國、英國、日本、中國香港、法國等40多個國家和地區,部分目標金融APP的包名見表3:
5.2、加密受感染設備文件,對受害者進行勒索
不同于常見的只是簡單禁止受害者訪問手機界面的鎖定屏幕的勒索軟件,Anubis對受害用戶的文件進行了加密,加密的目錄包括“/mnt”、“/mount”、“/sdcard”、“/storage”以及用戶的內在存儲卡目錄,見圖9。
Anubis的模塊使用256位對稱密鑰對文件進行加密處理,并以“.AnubisCrypt”作為加密文件的擴展名,見圖10。
在完成文件加密后,Anubis會加載其鎖定頁面(圖11),提示受害用戶的手機已經被鎖定并且文件被加密,需要受害用戶支付比特幣方可對文件進行解密。
鎖定頁面htmllocker是從遠程服務器動態獲取到的并保存在其配置文件set.xml中,如圖12,我們可以看到FBI WARNING的勒索信息:告知受害用戶的手機被鎖定,并且所有的文件被加密,用戶的數據將會被傳送到FBI,除非受害用戶支付罰金方可解密。
圖13是htmllocker代碼加載后的頁面,該頁面做的相當逼真,在“FBI WARNING”文字上方是“FBI”的LOGO ,下方即是圖12配置文件中的那一段勒索信息。
5.3、利用設備撥號應用執行USSD命令
USSD為GSM系統所使用的一種通訊協議,用戶可以通過手機撥號程序輸入特定的指令取得系統服務商提供的服務,比如查詢預付卡余額等,也可以用于查詢手機內部信息,如“*#06#”可以查詢手機的IMEI碼。也有部分手機廠商使用自定義的USSD指令對手機做特殊的設定或操作,例如將手機恢復為出廠設置,開啟手機的工程模式等。
該變種利用受感染設備的撥號程序來執行遠程服務器傳來的指令,從圖14中我們可以看到,攻擊者首先打開撥號程序,然后輸入從C&C獲取到的惡意指令,不同的指令對應不同的功能。不排除攻擊者對受感染設備恢復出廠模式或者惡意格式化受感染設備存儲卡等可能性。
5.4、設置呼叫轉接
設置受感染設備的呼叫轉接號碼為攻擊者遠程指定的手機號碼(見圖15)。攻擊者首先打開受感染設備的撥號程序,然后通過輸入“21手機號碼#”對受感染設備設置呼叫轉接。這樣,攻擊者就可以成功攔截受害用戶的手機來電,并且可以利用此功能對受害用戶進行欺詐。
六、建議
建議用戶不要輕易點擊短信中的不明鏈接,不要安裝不明來源的APP。對申請可疑權限尤其是短信讀寫、打電話以及需要激活設備管理器的APP要特別留意,涉及到金錢的操作要格外謹慎。遇到操作異常,應當及時使用殺毒軟件查殺或找專人處理。目前互聯網上也充斥著形形色色的第三方APP下載站點,很多甚至成了惡意應用的批發集散地。用戶應特別留意不應輕易的在一些下載站點下載APP,盡量從官網下載所需APP應用,在不得不從第三方下載站點下載軟件時,要高度保持警惕,認真甄別,防止誤下惡意應用,給自己造成不必要的麻煩和損失。
參考鏈接:
本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/698/
暫無評論