国内首个利用JavaScript脚本远控木马的技术分析报告

国内首个利用JavaScript脚本远控木马的技术分析报告

作者:陈宏伟 张昊

360手机安全中心日前研究发现,国内首个利用JavaScript脚本远控的“灰鸽子”木马,木马会截取、偷发手机短信,并存在后台下载、安装其他应用的恶意行为。该木马侵入手机后不会出现图标,通过加密的本地JavaScript代码方式作恶,非常隐蔽,很难被发现。360手机安全专家指出,该木马被内置在手机ROM中,建议手机用户通过正规渠道购买手机、同时谨慎刷机,目前,360手机卫士已经可以查杀该木马并在木马偷发短信时进行拦截。

包名:com.android.systemservice

MD5:30e9738d8d9c866dcddfb106efdfa490

应用名:SystemService

简介:该恶意样本利用WebView组件的addJavascriptInterface函数关联了本地java代码和JavaScript代码,服务器通过下发含有特定的JavaScript脚本的html,本地打开html,实现多种恶意行为。

恶意样本声明的权限:

image001

该样本安装后没有图标,没有activity,只能通过接收系统广播实现启动。

启动入口

image003

一、调试时实际触发功能的详细分析

当接收到android.intent.action.BOOT_COMPLETED(手机启动完成)或android.intent.action.NEW_OUTGOING_CALL(播出电话)广播后,启动核心服务

image005

核心服务启动后,先设置一些参数,以便后续的运行。

image007

然后访问服务器获取指令。

image009

控制服务器IP地址:42.121.18.43

image011

 

html文件的存储位置

image013

通过分析样本实际运行时生成的html文件,可看到其中含有加密过的JavaScript函数,加密方式为修改过的base64。

image015

设置webview的JavaScriptEnabled的功能为开启,并且添加JavascriptInterface设置java函数和JavaScript函数关联。

image017

其中的utils.base64decode是在java中实现

image018

解密的实现

image022

html文件中函数解密后的内容

image024

发短信相关代码

image027

从实际抓取到的html文件中可看到,执行了java层的发送短信功能,发送“a123123”到“1069009088”。并且设置“1069009”为拦截号码,“新浪”为拦截关键字。

私发短信的目标号码和内容

image029

同时设置3个参数:Prefix为拦截号码,Content为拦截内容关键字,CallBackJs为回调JavaScript函数。

image032

将上面的三个参数加密存储在data/data/com.android.systemservice/files/datas/data.ini中

image034

data.ini存储的位置

image037

data.ini存储的内容

image039

样本的另一种启动方式是监听android.provider.Telephony.SMS_RECEIVED(接收短信)广播,当收到该广播后,先执行如下代码:

image041

获取所接收短信的内容和号码,并保存到map中。

image045

遍历map处理短信。

image047

读取配置,这个配置是以加密文件形式存在data/data/com.android.systemservice/files/datas/data.ini中的。

image049

读取并解密data.ini文件

image051

解密后的文件内容

image052

其中的Content,Prefix,CallBackJs即为配置参数。

匹配短信拦截条件

image054

短信被拦截后,执行下发的回调JavaScript脚本。

image056

执行的JavaScript脚本

主要行为是上传一些用户信息至服务器。

image058

包括:“开通”字样的短信、IMSI、手机型号、操作系统版本等。

二、样本可实现的其他功能

通过服务端下发不同的js文件,该样本代码上还可实现其他功能,不过我们在调试过程中并没有触发。

  1. 静默下载并安装app

image060

后台下载app

image062

静默安装app

image064

shell的执行

image065

image066

2.动态加载dex

dex文件的url由JavaScript指定,后台下载后加载运行。

image068

3、延时发送短信

image027

3

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注