Browsed by
月份:2015年4月

远控木马Dendoroid.B分析报告

远控木马Dendoroid.B分析报告

作者:张昊、陈锦添 近期,360互联网安全中心截获了一款功能强大的专业远控木马,它可以通过PC端远程控制中招用户的手机,控制指令高达二十多种,窃取用户手机通讯录,短信,照片及其它重要隐私数据。这个远控木马与去年知名的Android.Dendoroid[1]木马家族手段非常相似,所以我们将其命名为Android.Dendoroid.B。目前360手机卫士已经可以全面查杀。     一、木马Android受控端恶意行为分析 释放文件,隐藏图标,启动恶意服务 Android.Dendoroid.B启动后会根据系统版本释放自身Assets目录下的testv7或testv5文件到/data/data/{packagename}目录下重命名为test;申请Root权限,释放su后门文件ssu到/system/bin目录下。隐藏自身图标,运行test文件。 test为ELF文件,主要功能为通过命令行的方式启动恶意服务WorkServer 频繁结束安全软件进程 我们发现该木马在各处重要的恶意行为节点上频繁地结束国内主流安全软件进程,破坏安全软件正常运行,木马的自我保护给用户手机带来更大安全风险。 能够结束以下安全软件: 通话过程中自动录音 通过监控电话状态改变,来实现通话录音,每当被控手机来电时,木马会自动开启录音功能,并保存录音文件 通过联网获取指令的方式实现远程控制 通过向中招手机发送不同的指令,以达到相应的行为控制。指令名称、功能及向PC端返回的响应如下表 暂未实现的其它功能 木马受控端除了以上这些功能,我们还在代码中发现了解密微信聊天记录的部分代码,以及通过短信指令远程控制的代码,但该部分代码未被调用。   二、FTP服务器分析 从上面的指令列表中,可以发现隐私数据大部分都被上传到了病毒作者的FTP服务器,地址为121.199.2*.***,用户名和密码为root,登录进去后,FTP中的文件列表如下: 在服务器中我们发现并梳理了以下几个重要的文件,其中一些文件是已经从用被监控手机中实际上传的用户隐私。 其中bf.zip中是一个工程名为“SimpleServer”的Java代码,我们通过分析这个工程代码发现其主要功能是为了解析PC主控端与手机APK受控端之间的通信,关系如图: 解析Android受控端发送的指令的代码 解析PC主控端发送指令的代码 另一个文件“muma.rar”以“木马”拼音命名不得不引起我们的关注,我们发现这个里面有大量.php文件并且发现了下面这个图片,由此可以看出这正是去年我们播报过的Android.Dendoroid的源码,这也是我们将该木马命名为Android.Dendoroid.B的另一个原因。   三、木马PC主控端分析 FTP上的PE文件MySocketServer.exe是木马Android.Dendoroid.B的主控端,主控端用于发送远控指令和接收受控端返回的隐私信息。 我们在实际验证中点击了联系人按钮,很快返回了中招用户手机中的联系人列表 另外,我们还在该软件上发现了一个网址http://www.yunkong8.com/,该网址显示是一个专业的监控类软件售卖的网站,软件功能页面中介绍可以用手机或者使用其他电脑浏览网页来远控指定的PC客户端,网站中没有提到可以通过PC端远控手机端,我们猜测这有可能是未公开的软件功能或是定制版本。   四、感染用户         
FakeTaobao家族变种演变(二)

FakeTaobao家族变种演变(二)

作者:张昊 今年央视315晚会上曝光了"10086积分兑换"电信诈骗全过程,详解了不法分子通过伪基站等方式伪装成运营商号码群发诈骗钓鱼短信,钓鱼网站诱导用户下载安装木马软件,致使用户中招。这类木马正是360互联网安全中心去年9月曝光过的FakeTaobao家族[1],我们一直以来持续关注这个家族的演变过程。而发展到现在,该家族样本数量每月激增,如此庞大的样本量,说明其中必然是有利索图,根据我们所掌握的情况,绘制出如下黑色利益链条。   一、统计数据 样本总量 通过360互联网安全中心数据统计,我们发现继去年9月份以后,短短半年时间,该家族月增样本数量猛增,已从3万多激增到接近13万。 购马人地域分布特点 FakeTaobao木马家族的一大特点是安装后会通过短信来向控制端手机号码进行报活,告诉购马人已有受害者上钩,360互联网安全中心对这些控制端号码进行了分析,得出了购马人的地理分布。 从图中可以看出广东、广西和上海占据前三位,占据了总量一半以上,我们对地区按照地级城市细化,发现广西南宁的购马人居首,上海和广东深圳次之。 我们从该家族样本中提取手机号码,发现同一控制号码最多涉及到408个恶意样本,表明针对安全厂商的查杀,木马作者在出售给同一个购马人的时候不断与安全厂商进行免杀对抗,导致恶意样本代码变化速度更快。 购马人所用号码段分布图 通过我们统计,发现131、130、132是购马人最喜欢用的号码段,而最新推出的176、177号段,甚至虚拟运营商的170专属号段,也都被购马人当做控制号码。 木马作者地域分布特点 我们从大数据分析得出木马作者的地理分布,从图中可以看出广西成为木马制作主要窝点。 再对木马作者进行地级城市细化,可以看到广西南宁仍然高居首位。与购马人数对比,可以看到广西南宁的购马人和木马作者数量基本相同,很可能是自产自销。   二、对抗演变 在我们之前曝光的家族变种的样本中,得知该家族通常有三种方式将用户手机短信等隐私信息盗走。 通过短信转发方式,直接发送给控制端手机 通过邮件方式,发送到指定的邮箱 通过WEB方式,上传到木马作者自己的服务器。 三种方式有个共同的缺点,通过手机号码、邮箱地址、服务器地址查询追踪,极易容易暴露木马作者自身信息。近期,360互联网安全中心QVM人工智能引擎又捕获到了数例FakeTaobao家族的最新变种,相比历史版本,新的变种通过利用第三方平台作为跳板,购马人可以有效的隐藏自己的真实身份,从而逃避追踪。   利用部分社交网站注册审核不严逃避追踪 首先,样本使用E4A语言[2]编写,窃取用户短信、联系人信息及通话记录上传到远程服务器。中文编程开发代价低,依赖特征的传统杀软很难识别。 随后,我们在跟踪https://wuzhi.me