04月12, 2016

通过BT种子传播到安卓手机的下载者

前言

不要以为身骑白马的就是王子,还有可能是唐僧;不要以为叉叉种子就装有美眉,还有可能是病毒。早年在国外出现的ZeroAccess木马程序利用P2P协议进行传播,如今在国内利用P2P协议进行传播的木马程序也出现了。该样本不仅使用了国内初见的利用P2P类协议中BitTorrent(简称BT)进行下载,并将下载下来的软件从PC端安装到了用户的手机上。那么他为何会选择使用P2P协议而不是其他协议?以及这个跨平台的操作是如何实现的呢?

P2P类协议在恶意传播中的特点

  1. 样本使用了P2P类协议,在病毒分析者在分析的时候,追踪木马来源上会增加很大的难度。较难的去追踪到源头
  2. 样本使用了P2P类协议,一般的防火墙很难去过滤,因为对于普通用户而言,为了用户体验是不能直接把BT给过滤掉,也没办法去过滤某一个IP地址
  3. 样本使用了P2P类协议,如果有大量用户中招的,大量人同时下载资源的时候,使用P2P协议不仅不会降低下载速度,相反还能提高下载的速度。

样本流程

主体程序通过加载wbd.dll来解析种子文件的地址,然后下载资源到本地,然后执行adb工具来实现将apk文件安装到用户手机上。下面是该样本的大概流程。

1

样本分析

该下载者中还打包了一个dll,该dll主要是用来解析BT种子的,是带有数字签名的正常dll。该样本主要通过该该dll来实现对BT文件的解析及下载,在下载前,该dll会先修改tcpip.sysy文件中的数据将下载限制调到0x3E7,来提高下载速度。下面就是该dll文件中用来提高速度的函数

8

在做好提高下载速度后,就开启UDP协议以及监听端口

99

下面的种子地址是从母体文件中提取到,在分析的时候看到种子文件是中大有文章啊。

http://tracker.f3322.net:8816/2663.torrent

http://tracker.f3322.net:8816/2650.torrent

http://tracker.f3322.net:8816/2649.torrent

http://tracker.f3322.net:8816/2652.torrent

因为资源已经失效了,这里种子里面的数据没能下载下来。但我们可以看到该资源解析出来的样本程序想要下载的文件的文件名。其中的adbDriverX86或adbDriverX64是在进行USB调试的时候需要用到的驱动文件。ADB工具是一个debug调试工具,在后面的将软件安装到用户手机中起主要作用,另外还有一些木马作者想要安装到用户手机上的apk软件。

未命名_meitu_0

下载下来文件后,就开始对软件进行安装。因为BT文件已经失效,所以我们这里就从我们在母体提取出来的命令来模拟一下。测试apk是一个干净的程序。。

2

执行命令提取出来的命令。该命令就是将指定apk安装到我们的手机,即便你手机上已经安装了,仍然会安装我们命令行中指定的apk

adb install -r -d xx.apk

QQ截图20160408152259

左边为执行前,右边为执行后。多了一个HelloJni,一个apk就这样安装到了用户的手机上面。

2

adb是个很强大的工具,通过adb我们可以发送短息,可以拨打电话。读取手机信息等等操作,这就意味着你的很多信息可能被泄露,你的很多账号的密码都可以被木马传播者修改。比如,下面是模拟通过用户手机发送一条短信到10086,利用adb 发送一命令即可发送短信。在你根本看不到的情况下,进行着见不得人的勾当。

adb shell am start -a android.intent.action.SENDTO -d sms:10086 –es sms_body “HelloWord” –ez exit_on_sent true
shell input keyevent 22
shell input keyevent 66

运行上面一段命令后我们会看到手机短信里面发送出去了一个短息

地地道道

我们看到下载的里面还有一个appt.exe,appt.exe是手机上管理资源的工具,下面是从样本中提取到命令。该命令主要是用来获取一个安装包的信息。该程序主要用来检测APK的各种信息。

3

安装好后就处理现场,释放一个bat文件删除样本主体

批处理文件中的代码

@echo off
ping 127.0.0.1 -n 2
del /f “C:\Documents and Settings\Administrator\桌面\BT_Downloader\b4de4ea5a5d4b9e734fbb82403bbe850_svchost.exe”
del /f “C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Delb4de4ea5a5d4b9e734fbb82403bbe850_svchost.bat”
cls

执行批处理文件。

1

防御措施

1.很多人都喜欢通过电脑给自己的手机充电,在这里提醒用户,在使用电脑给手机充电的时候,要确保自己的手机没有开启USB调试模式

2.在当你的手机上莫名其妙的多了一些软件的时候,请一定要注意。不要掉以轻心。

本文链接:http://blogs.360.cn/post/bt_android_downloader.html

-- EOF --

Comments