新型Android銀行木馬“MoqHao”利用社交網(wǎng)絡(luò)隱藏C&C服務(wù)器

甘 杰，郭山語

(北京啟明星辰信息安全技術(shù)有限公司，ADLab，北京)

0 概述

啟明星辰AdLab近段時間以來追蹤到一個新出現(xiàn)的Android惡意木馬樣本，該惡意木馬主要通過釣魚APP來竊取用戶銀行及理財APP登錄憑證，能夠通過創(chuàng)建本地代理來竊取Google賬戶登錄憑證，且具備遠(yuǎn)程控制感染機(jī)的能力。依據(jù)樣本關(guān)聯(lián)分析我們發(fā)現(xiàn)，該同類型的樣本之前被Mcafee披露過(其在8月28日將該銀行木馬命名為：Android/MoqHao)，并且還發(fā)現(xiàn)惡意代碼背后的黑客早在2013年就開始針對韓國的手機(jī)用戶進(jìn)行釣魚攻擊。直到2015年，該黑客組織開始利用偽造的Chrome更新消息來進(jìn)行傳播，并且開始利用QQ空間等社交網(wǎng)絡(luò)賬戶來配置C&C服務(wù)器地址。本次我們追蹤到的惡意代碼樣本為最新變種樣本(該樣本相關(guān)信息見表1)，該樣本利用了百度賬戶來設(shè)置C&C服務(wù)器，不過C&C服務(wù)器IP進(jìn)行了加密處理。通過對該惡意代碼的分析我們發(fā)現(xiàn)其具有如下特點：

1.通過短信傳播。

2.偽裝成Chrome瀏覽器更新欺騙用戶下載。

3.通過BASE64編碼將惡意dex文件隱藏于資源目錄。

4.創(chuàng)建手機(jī)代理服務(wù)的方式來竊取Google賬戶憑證。

5.通過百度個人賬戶來更新C&C服務(wù)器地址。目前涉及到的攻擊者百度賬戶頁面有http://www.baidu.com/p/dajiahao188384/detail 和http://www.baidu.com/p/womenhao183527/detail，解密后的C&C服務(wù)器地址為：111.240.228.234:8833。

6.利用加密的WebSocket協(xié)議通信。

7.使用了類似RPC的機(jī)制來實現(xiàn)遠(yuǎn)程控制。

8.替換合法金融類APP為釣魚APP，竊取登錄憑證。

1 木馬行為簡介

該惡意木馬偽裝成Chrome瀏覽器更新包來欺騙用戶下載，并且該惡意木馬運行后會不斷提示用戶激活其設(shè)備管理員權(quán)限(見圖1)，一旦其設(shè)備管理員權(quán)限被激活，該惡意木馬就隱藏自身的圖標(biāo)。這樣，普通用戶很難卸載掉該惡意木馬，從而使該惡意木馬長期駐留在受害用戶的設(shè)備中。

表1 樣本相關(guān)信息

圖1 提示用戶激活設(shè)備管理員權(quán)限

該樣本原始包充當(dāng)了類似殼的角色，真實的惡意dex文件被加密保存在原始包的assets目錄下，原始包在運行時解密加載其惡意dex文件來實現(xiàn)惡意攻擊。解密后的dex文件經(jīng)過了嚴(yán)重的混淆。我們對其深入分析后發(fā)現(xiàn)，惡意木馬在運行時，通過Http請求獲取攻擊者提前在其百度個人賬戶頁面配置好的加密過的C&C服務(wù)器地址，請求成功返回后，再對C&C服務(wù)器進(jìn)行解密。獲取到C&C服務(wù)器地址后，該惡意木馬會使用加密的WebSocket協(xié)議來和C&C服務(wù)器通信。值得注意的是，該惡意木馬和C&C服務(wù)器均各自實現(xiàn)了自己的RPC函數(shù)，通信雙方利用這些RPC函數(shù)來達(dá)到數(shù)據(jù)竊取和遠(yuǎn)程控制的目的 (示意圖見圖2)。

圖2 惡意木馬網(wǎng)絡(luò)通信圖

需要關(guān)注的是，該惡意木馬會遍歷受害用戶本機(jī)安裝的APP信息，以確定受害用戶是否安裝有特定的銀行類APP。如果有的話，該惡意木馬就會從C&C服務(wù)器下載對應(yīng)的偽裝銀行木馬，待對應(yīng)的偽裝銀行木馬下載完成后，就提示用戶升級。偽裝銀行木馬運行后，會卸載掉受害用戶本機(jī)原始合法的銀行APP來偷梁換柱。不難推測，對用戶真正的釣魚活動才剛剛開始。

另外，該惡意木馬除了收集受害用戶的手機(jī)硬件相關(guān)信息和手機(jī)狀態(tài)信息，還會竊取受害用戶的Google賬號憑證。與常見的利用遠(yuǎn)程服務(wù)釣魚頁面不同的是，該惡意木馬在受感染手機(jī)本地開啟了一個Httpserver服務(wù)，并利用該本地服務(wù)頁面完成對受害用戶的Google賬號憑證釣魚后，再將其通過WebSocket協(xié)議轉(zhuǎn)發(fā)到C&C服務(wù)器。該惡意木馬的主要行為見圖3：

圖3 惡意木馬的主要行為

2 原始包解密分析

如前所述，該惡意木馬真實的惡意dex文件被加密保存在原始包的assets目錄下，其內(nèi)容是Base64后的可見字符(見圖4)，其原始包只是扮演了殼的角色，原始包在運行時解密加載真實的惡意dex文件來實現(xiàn)惡意攻擊。我們將bin文件Base64解密或在該惡意木馬運行后，從其安裝包路徑下的files文件下均可得到真實的惡意dex文件(見圖5)。

圖4 加密存放真實的惡意dex文件

圖5 真實的惡意dex文件運行時解密到files目錄

3 真實攻擊邏輯分析

該惡意木馬申請的權(quán)限如圖6所示，其中涉及到的敏感權(quán)限包括短信的讀寫權(quán)限、通訊錄讀取權(quán)限、打電話權(quán)限、修改手機(jī)狀態(tài)權(quán)限等。

3.1 注冊大量廣播，主要用于竊取用戶手機(jī)狀態(tài)信息

該惡意木馬注冊了大量的廣播事件，主要用來竊取受害用戶手機(jī)狀態(tài)信息，以達(dá)到實時監(jiān)控受害用戶手機(jī)的目的(見圖7)。

圖6 惡意木馬申請的權(quán)限

圖7 惡意木馬注冊大量廣播事件

其中，當(dāng)用戶手機(jī)有新的應(yīng)用安裝或卸載、手機(jī)電量變化、網(wǎng)絡(luò)連接改變、屏幕喚醒或休眠等事件發(fā)生時，惡意木馬就發(fā)送受害用戶手機(jī)狀態(tài)相關(guān)信息到C&C服務(wù)器。發(fā)送的手機(jī)狀態(tài)相關(guān)信息包括：運營商名字、網(wǎng)絡(luò)類型(wifi還是移動網(wǎng)絡(luò))、wifi的mac地址、電量百分比、wifi信號強度、是否管理員權(quán)限、自己是否在休眠白名單中、屏幕是否喚醒、手機(jī)情景模式(見圖8)。

圖8 向C&C服務(wù)器發(fā)送手機(jī)狀態(tài)相關(guān)信息

3.2 獲取C&C服務(wù)器地址

該惡意木馬利用動態(tài)頁面來獲取和更新C&C服務(wù)器地址。攻擊者將加密后的C&C服務(wù)器地址配置在申請的百度賬戶個人簡介中，惡意木馬在運行時會通過Http請求獲取對應(yīng)的頁面數(shù)據(jù)再進(jìn)行解密。從圖9我們可以看到，獲取C&C服務(wù)器的Http請求串也經(jīng)過了加密處理，我們對其解密后的結(jié)果為：http://www.baidu.com/p/dajiahao188384/detail 和http://www.baidu.com/p/womenhao183527/detail。

另外，通過抓包也可清楚看到該Http請求的內(nèi)容(見圖10)。

我們在瀏覽器中訪問對應(yīng)的Http請求，可以看到訪問的是對應(yīng)百度賬戶的個人頁面，我們注意到攻擊者的賬戶目前還處于在線狀態(tài)，個人簡介部分即為加密后的C&C服務(wù)器地址(見圖11)，我們對其解密后為：111.240.228.234:8833。

圖9 Http請求的解密和拼湊

圖10 Http請求抓包結(jié)果

圖11 攻擊者注冊的百度賬戶頁面

圖12 連接C&C服務(wù)成功后，發(fā)送用戶手機(jī)信息

3.3 竊取用戶設(shè)備信息和狀態(tài)信息

惡意木馬連接C&C服務(wù)器成功后，會發(fā)送受害用戶手機(jī)相關(guān)信息，包括：android_id、系統(tǒng)版本、手機(jī)版本+顯示屏參數(shù)、是否root、關(guān)機(jī)狀態(tài)、sim卡是否處于就緒狀態(tài)、用戶手機(jī)號碼、IMEI、手機(jī)中賬戶信息(見圖12、圖13)。除了發(fā)送用戶手機(jī)相關(guān)信息，還會再次發(fā)送用戶手機(jī)的相關(guān)狀態(tài)信息(見圖14)。

圖15是以上通信的日志信息?？梢郧宄乜吹竭B接的C&C服務(wù)器地址，連接成功后，更新用戶手機(jī)狀態(tài)信息到C&C服務(wù)器。

圖13 具體發(fā)送的手機(jī)信息

圖14 發(fā)送用戶手機(jī)當(dāng)前狀態(tài)信息

3.4 通過C&C服務(wù)器下發(fā)命令和回傳任務(wù)

該惡意木馬使用加密的WebSocket協(xié)議來和C&C服務(wù)器通信，惡意木馬和C&C服務(wù)器各自實現(xiàn)了自己的RPC函數(shù)供對方調(diào)用(其中圖16是惡意木馬實現(xiàn)的RPC函數(shù))，通信雙方利用這些RPC函數(shù)來達(dá)到數(shù)據(jù)竊取和遠(yuǎn)程控制的目的。惡意木馬實現(xiàn)的RPC函數(shù)可發(fā)送短信(目標(biāo)地址和內(nèi)容由C&C服務(wù)器提供)、鎖定用戶手機(jī)、獲取手機(jī)通訊錄、發(fā)送釣魚信息給手機(jī)聯(lián)系人等(具體見表2)。

圖15 更新用戶手機(jī)狀態(tài)信息的日志

圖17是該惡意木馬和C&C服務(wù)器通信部分，惡意木馬解析C&C服務(wù)器發(fā)送過來的網(wǎng)絡(luò)數(shù)據(jù)，執(zhí)行對應(yīng)的RPC函數(shù)，再將函數(shù)執(zhí)行結(jié)果返回給C&C服務(wù)器。

同時，該惡意木馬也會給C&C服務(wù)器發(fā)送請求指令，分別為：下載指定的apk文件、發(fā)送釣魚到的Google賬戶憑證、得到需要更新的包列表、得到標(biāo)題等顯示提示(見表3)。

圖16 惡意木馬實現(xiàn)的RPC函數(shù)

命令含義sendSms發(fā)送短信(地址和內(nèi)容由C&C服務(wù)器提供)setWifi打開WiFigcont獲取手機(jī)通訊錄lock鎖定手機(jī)bc發(fā)送釣魚信息給手機(jī)聯(lián)系人setForward設(shè)置本地配置文件中的“fs”值getForward得到本地配置文件中的“fs”值hasPkg判斷手機(jī)是否安裝有指定apksetRingerMode設(shè)置情景模式reqState發(fā)送手機(jī)狀態(tài)信息到C&C服務(wù)器showHome回到主屏幕getnpki獲取壓縮包

表3 惡意木馬發(fā)送給C&C服務(wù)器的函數(shù)請求

3.5 竊取用戶Google賬戶信息

該惡意木馬除了收集受害用戶的手機(jī)硬件相關(guān)信息和手機(jī)狀態(tài)信息，還會竊取受害用戶的Google賬戶憑證。與常見的利用遠(yuǎn)程服務(wù)器釣魚頁面不同的是，該惡意木馬在受感染手機(jī)本地開啟了一個Httpserver服務(wù)，并利用該本地服務(wù)頁面完成對受害用戶的賬戶憑證釣魚后，再將其通過加密的WebSocket協(xié)議轉(zhuǎn)發(fā)到C&C服務(wù)器。在惡意木馬篩選出google賬戶后(見圖18)，會彈出警告對話框，等受害用戶點擊確定后，惡意木馬就會打開瀏覽器，跳轉(zhuǎn)到自定義的本地釣魚頁面(見圖19)。

圖17 C&C服務(wù)器和惡意木馬的通信

該惡意木馬在本地創(chuàng)建HttpServer服務(wù)，本地HttpServer服務(wù)啟用線程來處理釣魚到的Google賬戶信息(見圖20)。

惡意木馬將釣魚到的Google賬戶憑證發(fā)送到C&C服務(wù)器(見圖21)。

圖18 篩選Google賬戶

圖19 彈出警告窗口

圖20 惡意木馬利用本地服務(wù)來處理釣魚到的Google賬戶信息

圖21 惡意木馬將釣魚到的Google賬戶憑證信息發(fā)送到C&C服務(wù)器

3.6 下載偽裝銀行類APP

該惡意木馬會遍歷受害用戶本機(jī)安裝的APP信息，以確定受害用戶是否安裝有特定的銀行類APP。如果有的話，該惡意木馬就會從C&C服務(wù)器下載對應(yīng)的銀行類木馬，待對應(yīng)的木馬下載完成后，就提示用戶有新的升級。銀行類木馬運行后，會卸載掉受害用戶本機(jī)原始合法的APP來偷梁換柱。顯而易見，對受害用戶真正的釣魚攻擊才剛剛開始。

遍歷用戶手機(jī)應(yīng)用，檢查是否有內(nèi)置指定的銀行類APP，有的話，從C&C服務(wù)器下載對應(yīng)的銀行木馬APP(見圖22)。

如果用戶手機(jī)存在指定的銀行類APP，則從C&C服務(wù)器下載對應(yīng)的銀行木馬APP(見圖23)。

表4為惡意木馬內(nèi)置的要偽裝的銀行類APP包名。

銀行類惡意木馬APP下載完成后，會彈出提示框，誘使用戶更新(見圖24)。

銀行類惡意木馬運行后，會卸載掉受害用戶原來合法的銀行類APP(見圖25)。

圖22 遍歷受害用戶手機(jī)應(yīng)用

圖23 從C&C服務(wù)器下載指定的銀行木馬APP

目標(biāo)對比的銀行類APP包名com．wooribank．pib．smartcom．kbstar．kbbankcom．ibk．neobankingcom．sc．danb．scbankappcom．shinhan．sbankingcom．hanabank．ebk．channel．a(chǎn)ndroid．hananbanknh．smartcom．epost．psf．sdsicom．kftc．kjbsmbcom．smg．spbs

3.7 傳播

該惡意木馬通過向受害用戶的通訊錄聯(lián)系人發(fā)送釣魚信息來傳播(見圖26)。

4 總結(jié)及建議

雖然該惡意木馬是針對韓國用戶，但也不排除后續(xù)針對其他國家實施攻擊的可能。用戶除了對熱門的APP下載和更新不能大意外， 對系統(tǒng)自帶的APP的更新也應(yīng)保持警惕。建議用戶不要輕易點擊短信中的不明鏈接，不要安裝不明來源的APP。對申請可疑權(quán)限尤其是短信讀寫、打電話以及需要激活設(shè)備管理器的APP要特別留意，涉及到金錢的操作要格外謹(jǐn)慎。遇到操作異常，應(yīng)當(dāng)及時使用殺毒軟件查殺或找專人處理。目前互聯(lián)網(wǎng)上也充斥著形形色色的第三方APP下載站點，很多甚至成了惡意應(yīng)用的批發(fā)集散地。用戶應(yīng)特別留意不要輕易地在一些下載站點下載APP，盡量從官網(wǎng)下載所需APP應(yīng)用，在不得不從第三方下載站點下載軟件時，要保持高度警惕，認(rèn)真甄別，防止誤下惡意應(yīng)用，給自己造成不必要的麻煩和損失。

圖24 誘使用戶安裝下載到的銀行類木馬

圖25 下載下來的木馬偷梁換柱

圖26 該惡意木馬的傳播途徑

啟明星辰積極防御實驗室(ADLab)

ADLab成立于1999年，是中國安全行業(yè)最早成立的攻防技術(shù)研究實驗室之一，微軟MAPP計劃核心成員。截止目前，ADLab通過CVE發(fā)布Windows、Linux、Unix等操作系統(tǒng)安全或軟件漏洞近400個，持續(xù)保持國際網(wǎng)絡(luò)安全領(lǐng)域一流水準(zhǔn)。實驗室研究方向涵蓋操作系統(tǒng)與應(yīng)用系統(tǒng)安全研究、移動智能終端安全研究、物聯(lián)網(wǎng)智能設(shè)備安全研究、Web安全研究、工控系統(tǒng)安全研究、云安全研究。研究成果應(yīng)用于產(chǎn)品核心技術(shù)研究、國家重點科技項目攻關(guān)、專業(yè)安全服務(wù)等。