Browsed by
分类:木马分析

ExpensiveWall家族变种再现Google Play

ExpensiveWall家族变种再现Google Play

360烽火实验室 近期,360烽火实验室发现Google Play上架了4款均使用了某厂商加固的ExpensiveWall家族变种,它能够在用户不知情的情况下私自发送扣费短信,给用户带来经济损失。 我们发现后在第一时间通知Google,Google立即从其商店中删除了相关APP。但根据Google
内网穿透——Android木马进入高级攻击阶段

内网穿透——Android木马进入高级攻击阶段

  360烽火实验室 一.    概述 近日,360烽火实验室发现有数千个样本感染了一种名为“DressCode”的恶意代码,该恶意代码利用实下流行的SOCKS代理反弹技术突破内网防火墙限制,窃取内网数据。这种通过代理穿透内网绕过防火墙的手段在PC上并不新鲜,然而以手机终端为跳板实现对企业内网的渗透还是首见[1]。 SOCKS是一种网络传输协议,SOCKS协议位于传输层与应用层之间,所以能代理TCP和UDP的网络流量,SOCKS主要用于客户端与外网服务器之间数据的传递,那么SOCKS是怎么工作的呢,举个例子:A想访问B站点,但是A与B之间有一个防火墙阻止A直接访问B站点,在A的网络里面有一个SOCKS代理C,C可以直接访问B站点,于是A通知C访问B站点,于是C就为A和B建立起信息传输的桥梁。其工作流程大致分为以下5步: (1)  
网络电信诈骗之电话号码劫持

网络电信诈骗之电话号码劫持

日前,360烽火实验室发布的《深入分析跨平台网络电信诈骗》[[1]]报告中曝光了跨平台网络电信诈骗的黑色产业链。报告发布后,移动平台网络电信诈骗类恶意软件的数量急剧下降。 近期,我们捕获一类网络电信诈骗恶意软件的新型变种。该类变种是诈骗者在对受害者进行电信诈骗时,以涉嫌犯罪为由恐吓受害者。向受害者手机发送包含恶意程序下载链接的信息,以获取“案件号”、“单位代号”、“电子凭证”为由诱骗受害者点击链接,下载安装恶意程序以此来获得受害者手机的控制权。然后诈骗者要求受害者主动拨打110报警,然后安装在受害人手机中的恶意程序将原本拨打给110的电话,劫持之后转为拨打诈骗者的号码,从而让受害者信以为真,落入了诈骗者精心布下的圈套。接下来,恶意程序获取各种短信特别是验证码信息,实现转账,消费,造成受害者财产损失。目前360手机卫士已对该类木马变种全面查杀。 一、电话号码劫持原理 该类样本使用的是Android拨打电话前,可以对拨打的号码进行处理的特性。具体是Android在拨打电话时会发送action为android.intent.action.NEW_OUTGOING_CALL的广播,该广播由系统发出,不能被终止,但可以使用BroadcastReceiver接受并处理该广播。常用于VoIP网络电话中,对号码进行添加前辍的处理。 二、网络电信诈骗的骗术 1.
“地狱火”手机病毒——源自安卓系统底层的威胁

“地狱火”手机病毒——源自安卓系统底层的威胁

0x00     背景 近 日,360安全中心收到多起用户反馈,手机中了一种难以清理的病毒,某些用户尝试自行清理掉病毒,发现删除病毒文件vold.apk后,会再次重现。通过分析,发现此病毒已经寄生到系统底层,定时恢复APK实现自我保护。随着反馈用户数量急剧上升,360手机急救箱已下发紧急查杀方案,全面支持清理该手机病毒。 通过分析,我们发现在手机病毒发展史上,首次利用了在Android系统中通过修改系统Boot
百脑虫之HOOK技术分析

百脑虫之HOOK技术分析

0x00 背景 2015年末爆发了感染量过百万的“百脑虫”手机病毒,经过360移动安全团队深入的跟踪和分析,我们又发现了病毒的另一核心模块,此模块包括3个ELF系统文件configpppm、configpppi、configpppl和一个伪装成系统应用的核心apk文件以及一个configpppl.jar文件。我们发现这些模块都使用之前发现的conbb(configopb)执行命令。在新发现的模块中,病毒使用了更高超的技术,可以在用户毫无察觉的情况下修改短信内容恶意扣费,从而非法获益。 0x01传播途径 此病毒母体一般都是寄生在色情应用或者手机预装,这类色情应用都是没有什么实质上的内容,只是图标和名字很诱人而已,诱导下载安装病毒。一旦安装,病毒也就找到了宿主,即使卸载这类应用,病毒母体也不会被卸载。每次手机开机,病毒都会启动,即使手机恢复出厂设置病毒也不会被清除。 0x02病毒行为概述 一、恶意扣费(针对移动应用商城,APP应用厂商背黑锅) 病毒注入所有APP应用,在APP应用进行短信订购支付时,病毒判断是否是包含移动应用商城模块,然后替换支付内容,导致用户支付后也没有得到应有的功能,APP应用厂商也没有充值记录,导致用户认为APP应用厂商的程序有问题。这样,病毒偷了钱还嫁祸给应用厂商而且用户也无法察觉已中毒。 二、云端服务器加载恶意代码 核心功能classes.dex文件存放在云端服务器,这样做对幕后黑手的好处有以下几点: 1、随时更新功能:可能今天执行扣费指令,明天执行盗取银行密码、支付宝密码指令,后天安装各种APK应用等等,潜在危险巨大。 2、难以取证:幕后黑手发现被盯上,随时可以关闭服务器或改为正规功能,不会留下恶意扣费的相关证据。 三、修改系统核心文件 手机系统易死机,应用启动迟缓。 四、技术手段高超 注入zygote修改framework需要对安卓手机底层了解非常透彻才能有如此大作,推测是分工明确的团队产品。   0x03病毒详细分析 病毒框架大体流程如下: 图[1]:框架流程 图[2]:注入zygote 图[3]:病毒jar模块功能 1.诱惑应用释放病毒母体文件或手机预装就存在病毒,病毒下载运行云端核心DEX文件,执行核心功能函数crackZygoteProcess()。 2.木马加载libconfigpppm.so动态库,调用导出函数configPPP()测试修改framework内容是否可行; 图[4]:调用configPPP() 3.root权限运行configpppi.so,参数为Zygote进程的PID,修改Zygote进程; 图[5]:运行configpppi 4.创建一条线程检测"com.android.phone"进程并结束,此进程为系统核心进程,被结束后会自动启动,重新启动后的“com.android.phone”就被注入了病毒模块; 图[6]:重启"com.android.phone"注入病毒jar模块 5.杀死360、金山等杀毒软件,永久删除。 图[7]:结束各种杀毒软件并删除. 6.病毒JAR注入所有APK,等待时机恶意扣费。 以上操作完成之后,以后启动的每个APK应用都会加载病毒模块,从QQ、支付宝、微信、银行app到各种手机游戏,病毒可以随意操控程序流程。 举个栗子-中毒后最终效果: 我的移动手机已经中毒并且在“移动应用商城”官网下载了“捕鱼达人”,畅玩游戏时想花点钱升级VIP或者买个道具(此时病毒注入游戏),进行消费支付提示后,游戏币却没有充值成功,然而却被扣费,此时我一口咬定游戏厂商应用出了问题,明明扣费却不给道具。而实际上,病毒在支付的时候就把支付内容修改,最终导致用户和APP应用厂商相互误解。   图[8]:病毒导致应用厂商背黑锅   详细分析核心模块: 我们详细分析一下libconfigpppm、configpppi、configpppl是怎么注入安卓进程并HOOK
“道有道”的对抗之路

“道有道”的对抗之路

作者:360移动安全团队 一、背景 今年央视3.15晚会曝光了道有道科技公司通过推送恶意程序,使手机用户被莫名扣费的问题,引起了广大手机用户的高度关注。 360移动安全团队对道有道广告SDK进行了分析与研究。截至2016年3月底,嵌入道有道广告SDK的应用软件累计达到80万个,从月增样本数量统计可以看出,在去年年中的一个月内就收录了近10万个。 二、广告形式 在道有道的官网上,介绍了其广告SDK的展现形式包括插屏广告、Banner广告和应用推荐广告。 其官网展示的插屏广告是在软件内的插屏,实际上在其广告SDK开发文档中,还支持在自身软件外弹插屏广告,这也正是3.15曝光的展现形式。 这种外插屏的展现形式,侵犯了用户的知情权,用户不知道是哪个应用弹的广告,并且点击屏幕任何地方都会直接下载推广的应用,除非准确点击ⓧ才能关闭广告。这种匿名且在自身应用外推送的广告展现形式,不但容易造成用户手机流量损失,还影响用户手机正常使用,被我们定义为恶意广告。 三、推广 360移动安全团队发现,借助道有道广告SDK推广的软件,除了正常软件外,还存在大量的恶意软件,比如3.15曝光的色情视频类恶意软件。我们之前发布的“舞毒蛾”[1]和“百脑虫”[2]木马分析报告,都是借助色情视频类恶意软件传播、感染用户手机,并且难以清除干净。 移动广告平台对推广的应用审核不严,助涨了恶意软件传播,成为了其帮凶,最终造成用户经济损失、隐私泄露。 四、对抗演变 360移动安全团队分析发现,道有道广告SDK利用静态和动态相结合的手段,与杀软特征进行持续性的对抗,从而躲避杀软的查杀。 1.     
“舞毒蛾”木马演变报告

“舞毒蛾”木马演变报告

作者:360移动安全团队 一、概述 近期,360移动安全团队监测到一款云控木马正在集中爆发。该木马家族最早于2015年2月被360移动安全团队捕获,目前已经累计样本超过1.2万个。由于该木马有多个版本演变并会下载多个恶意文件执行恶意行为,我们将该木马命名为“舞毒蛾”。 “舞毒蛾”木马是一个典型的云控木马,会联网下载恶意代码包并在本地释放提权代码,静默申请手机Root权限,不仅会向系统写入恶意文件,还会注入到系统进程,从而实现隐私窃取,私自下载、静默安装其他应用,频繁弹广告以及私自订阅扣费业务等多种恶意行为,给用户造成隐私泄露和经济损失。 我们研究发现“舞毒蛾”木马演变过程中不断增强自己提权模块的能力,在后期演变中增加了针对三星
“百脑虫”手机病毒分析报告

“百脑虫”手机病毒分析报告

一、背景 2015 年末,360移动安全团队不断收到用户反馈,手机中莫名其妙地被下载安装其他应用、手机自动订阅扣费服务等问题,手机还原出厂设置后,问题依旧无法解决。类似的用户反馈近期越来越多,经360移动安全团队的跟踪发现,引起此类症状的元凶为一linux系统层病毒。该病毒的核心模块包括一个ELF系统文件conbb(configopb)及一个伪装系统应用的APK文件core,通过这些文件,我们发现病毒提供了一整套完善的实现和接口,能够被不同的APK应用方便的打包调用,进而造成该病毒被广泛传播,影响恶劣。据后台数据分析,打包该病毒模块的应用达数百种之多,因此,我们该病毒命名为“百脑虫”病毒。 通过搜索引擎能够轻松的发现中招网友的反馈: 图1
“蜥蜴之尾”——长老木马四代分析报告

“蜥蜴之尾”——长老木马四代分析报告

随着移动端安全软件对APK的查杀能力趋于成熟以及Google对Android安全性重视的提高,病毒与反病毒的主战场已逐渐从APP层扩展到Linux底层。而且病毒作者也开始把PC端的病毒自我保护手段运用到移动端上,在移动端大量使用了免杀、加密、隐藏、反虚拟机等传统PC端病毒自我保护技术。但是之前一直还未出现过通过感染技术实现自我保护的病毒,此次,360安全团队首次发现了在Android系统中通过感染方式隐藏自身恶意代码的木马病毒——长老木马之四。 一、长老四之前世今生 去年11月份,360安全团队截获了恶意手机木马“长老三代”,详细剖析挖掘了长老木马的整个有机生态链。并从传播源头开始进行强力打击,致使猖狂一时的长老木马迅速地消声灭迹。近期360安全团队发现改头换面的新版长老木马又“重出江湖”。 分析后发现,木马与“长老三代”有紧密的关系,在长老木马三代“疯狂崛起”时,以其子模块的形式存在,功能有限,而且也不具备对抗安全软件的能力,因此,我们将其命名为“长老四代”。 长老木马三代核心主体模块debuggerd与此子模块耦合度非常高。比如子模块由虚假debuggerd来启动,而且子模块运行时需要访问由假冒debuggerd下载生成的文件读取远程服务器地址,下载地址等。经过木马作者的“精心改进”后,子模块从“私生子”华丽“蜕变”为长老木马核心模块。 二、进化篇 与之前老版本相比,虽然在恶意行为特征上仍然以隐私劫取、恶意扣费为主,但是自我保护与对抗安全软件方面有较大技术突破。例如,在移动安全领域首次采用了静态感染技术,感染系统运行依赖的lib文件,加大了查杀难度。此外,还采用相似文件路径欺骗法、
权限杀手新变种报告

权限杀手新变种报告

概述 2013年,ROM级内嵌手机病毒“权限杀手”曝光,该病毒通过删除其他应用获取系统ROOT所使用的关键文件,达到自己不被其他应用获取系统ROOT删除的目的,进而实施一系列作恶行为。通过云数据分析,该木马在近一年多的时间持续活跃,并且在2015年上半年突然爆发。 此次爆发的权限杀手最新变种,其系统模块、作恶手段均有所改进。通过调查分析,木马主要内嵌在手机ROM中通过刷机网站快速传播,此外还包括部分水货手机用户,到目前为止,国内受影响用户达50万之多,其中超过60%是近半年内新受到感染的用户。 到目前为止,国内刷机市场累计有接近300