06月13, 2014

假面间谍木马分析报告

作者:石浩然、陈宏伟 近日,360手机安全中心发现一种新的手机木马---假面间谍,该手机木马伪装成“qq2013”、“微信”、“91手机助手”、“UC浏览器”等常用软件,用户很容易受其误导,安装并运行该木马。手机一旦中招,木马会诱导用户安装名为“更新程序”的恶意子包,用户的短信将会受到木马监控,同时木马接收黑客短信指令控制用户手机,转发指定内容的短信,私自发送特定内容短信到指定号码等恶意行为,对用户的短信隐私及手机资费存在巨大的威胁。

image1

图中“QQ2013”为该木马伪装

木马运行流程图如下

image2

从流程中可以看出恶意子包也同样具有主包的短信监控和执行黑客短信指令的功能,木马如此设定是为了主包在被卸载的情况下依然可以对用户手机实施恶意行为,同时,子包安装后并没有图标,因此更加隐蔽。

第一部分 主包的分析

主包启动后,会启动名为Update的服务,并检查网络状态,如果网络状态未开启则提示用户开启网络,如果网络是开启的,则从网址”http://[REMOVED].com/[REMOVED]/update.apk”下载文件至SD卡根目录,同时显示一个虚构的下载进度,文件成功下载后调用系统安装程序进行安装,同时启动一个定时任务去运行新安装的update.apk。

image3

恶意子包“更新程序”的安装界面

  1. 后台服务update分析 服务启动后,首先会从资源中读取要发送的目标短信号码和发送内容,并启动一个定时服务根据日期和月份判断发送短信,每5分钟运行一次。

    image4

    image5

其中的号码,1062999923和10627777555都是SP号码。如果发送特定短信到1062999923,就会订阅该SP的服务,正常情况下,会收到如下短信,每条来自该号码的短信收费2元。 “1062999923:感谢使用精美手游超市业务,客服电话0531-96717001;” 2. 短信相关 该木马是一个短信马,它会持续监控接收到的短信,判断是否是木马作者发来的指令类短信,如果是指令短信,则根据不同的指令做相应的处理,黑客可以远程控制用户手机作不同操作;如果是普通短信,就会进行一些拦截、过滤等操作。 2.1 指令类短信的处理 如果短信以“#spy#”开始,则更新短信号码。 如果短信以“#M”开始,格式:#M[内容1]#T[内容2],功能:向指定号码发送特定内容短信。 如果短信以“@F”开始,格式:@F[内容1]@F[内容2],功能:读取配置。 如果短信以“@D”开始,格式:@D,功能:静默卸载指定软件。

image6

image7

部分指令类短信处理代码截图

2.2 非指令类短信的处理 如果用户接收到短信中包含以下关键字或者号码,则屏蔽,使用户看不到短信内容。 这些号码或者是SP的服务代码,或者是SP的服务电话,或者是木马作者的主控号码,用来发送远程指令给木马,控制其进行某些特定的行为。

image8

image9

除此之外,该木马还会转发来自特定号码的短信,

image10

1) 当接收到短信号码为15874010635的短信时,向号码为1065800885566发送收到的短信内容。 2) 短信内容包含“4006125880”并且含有“回复数字【x】”字样的短信,解析该短信并向收到的号码发送确认数字,来定制业务。 3) 屏蔽来自号码“95105222”的确认短信。

image11

第二部分 子包的分析

子包行为大部分与主包相同,比如运行Update服务、注册receiver等,这么做的目的是当主包被卸载后,其主要恶意功能还可通过子包继续实现。不同的是,子包中会联网访问http://[REMOVED].com/[REMOVED]/zhuanfajson,更新配置信息,并定时上传用户手机号和运营商信息。

image12

image13

有趣的是,在分析中,我们发现在主包的资源中还打包了一个名为”icon1.png”的文件,实为一个rar包,作用为扩充apk包的大小,体积看上去比较像正版的软件。

本文链接:http://blogs.360.cn/post/analysis_of_fakeapps.html

-- EOF --

Comments