安卓远控木马黑色产业链渐成气候,谨防手机变“肉鸡”

安卓远控木马黑色产业链渐成气候,谨防手机变“肉鸡”

作者:申迪

最近,国外接连爆出若干安卓平台的远程控制木马,这些木马被植入用户的手机之后,接收服务器的指令进行隐私窃取。攻击者在Web管理页面可以方便的针对每个人下发不同的控制指令。而值得注意的是,一款名为Dendroid的木马在国外的黑市中以300美元售卖,接收比特币或莱特币支付。木马购买者享受的服务包括apk木马软件本身,一套WEB管理页面,以及7X24小时的客户服务。此外,作者还提供软件捆绑服务,购买者可以将木马捆绑在正常软件中,绕过了一些无严格人工审查的应用市场审核,将木马通过市场分发。据了解,该木马甚至曾在国外某些知名市场上架。这表明远控木马的黑色产业链已经形成,众多手机用户面临可能沦为“肉鸡”的风险。

目前,360手机卫士已经可以查杀此类木马,同时建议用户使用360手机助手安装软件,避免此类木马的侵袭。

木马特征

后台地址被写死在程序代码中,解密后是http://friendclub.im/dendroid 后面的几个PHP是后台的信息上传接口。

1

 

地址采用了Base64简单加密

然后管理后台是要求登陆密码的,虽然没有登陆权限,但是还是从木马作者的销售广告中看到的功能强大的管理后台截图。是不是有点像PC时代远控木马的界面?

2

木马销售广告中展示的管理页面

从代码中,可以看到木马循环获取服务端的控制请求

3

 

木马支持的指令多达数十条:

mediavolumeup

mediavolumedown

ringervolumeup

ringervolumedown

screenon

recordcalls

intercept

blocksms

recordaudio

takevideo

takephoto

settimeout

sendtext

sendcontact

callnumber

default

openwebpage

updateapp

promptupdate

uploadfiles(Audio/Videos/Pictures/Calls)

changedirectory(Audio/Videos/Pictures/Calls)

getbrowserhistory

getbrowserbookmarks

getcontacts

getinboxsms

getsentsms

deletesms

getuseraccounts

getinstalledapps

httpflood

openapp

opendialog

uploadpictures

setbackupurl

transferbot

 

这数十条指令包括了拍照、通话窃听、短信窃取、浏览器历史记录窃取,还有通信录、照片、视频等手机文件窃取,甚至还可以被用来做DDoS攻击的节点。还包含一系列诸如调整音量、解锁、弹出网页等控制命令。至此,手机彻底沦为攻击者的肉鸡。

另外代码中还包含了简单的沙箱检测:

1

 

由于一些应用市场仅使用沙箱来进行高危行为检测,使用以上代码可以绕过一些简单配置的沙箱环境。而360手机助手中的软件全部采用静态扫描、动态沙箱、人工检测相结合的方法,能够保证用户安全下载应用。

安全建议

–          仅通过360手机助手安装应用,确保安装应用的安全

–          安装360手机卫士作为手机端的安全软件,确保手机系统不受恶意木马侵袭

结语

随着智能手机的普及,越来越多曾被用于电脑的攻击形式被应用于移动平台,这一次以Dendroid、iBanking Mobile Bot为代表的工具型远程控制木马也开始流行起来。另一方面,售卖安卓木马的黑色产业也悄悄浮出水面,将有更多的人参与到安卓木马传播当中来。我们将会持续关注这一类木马的发展趋势并提供解决方案。

扩展阅读

http://www.symantec.com/connect/blogs/android-rats-branch-out-dendroid

https://blog.lookout.com/blog/2014/03/06/dendroid/

http://techlomedia.in/2014/03/dendroid-malware-gives-attacker-complete-control-android-device-22085/

http://ahackernews.com/hacker-news/2014/dendroid-android-http-bot-binder-new-all-in-one-android-malware-toolkit/

https://blogs.rsa.com/ibanking-mobile-bot-source-code-leaked/

http://9to5google.com/2012/02/02/google-unveils-malware-detection-service-for-android-market-codenamed-bouncer/

http://googlemobile.blogspot.com/2012/02/android-and-security.html

http://www.symantec.com/connect/blogs/remote-access-tool-takes-aim-android-apk-binder

http://www.symantec.com/connect/blogs/rise-java-remote-access-tools

http://contagiominidump.blogspot.com/2014/03/dendroid-android-spyware.html

http://arstechnica.com/security/2014/03/malware-designed-to-take-over-cameras-and-record-audio-enters-google-play/

http://appleinsider.com/articles/14/03/07/new-android-rat-infects-google-play-apps-turning-phones-into-spyware-zombies

One thought on “安卓远控木马黑色产业链渐成气候,谨防手机变“肉鸡”

发表评论

电子邮件地址不会被公开。 必填项已用*标注