09月16, 2014
0 comments

FakeTaobao家族变种演变

作者:张昊

一、木马恶意行为简述

在2013年5月,360互联网安全中心监控到了第一个FakeTaobao家族的木马,该家族最开始伪装成淘宝软件,所以我们将其命名为FakeTaobao。

该木马家族样本通过钓鱼、诱骗、欺诈的方式窃取用户姓名、身份证号码、银行卡账户、支付密码、短信内容及各种登录账号和密码等用户重要的个人隐私信息,再通过短信转发,联网上传和发送邮件等多种方式,造成这些信息的泄露,不法分子再利用此信息从而达到窃取用户资金的目的,严重威胁用户的财产安全。

二、统计数据

FakeTaobao家族的样本功能简单、更新变化速度快,伪装花样不断翻新,涉及的样本量非常大。从最开始出现到14年9月9日,共截获该家族样本将近3万3千个。

1、月度新增样本统计

从13年5月起,360互联网安全中心每月都能够监控到该类木马,并且在样本数量上也呈现不断增长的趋势。

image1

2、最爱伪装的应用软件名称Top20

在已截获的众多样本中,有一些常见名字的应用软件,是木马最爱伪装的。

image2

3、最爱伪装的应用软件类型

按照木马伪装软件的类型分,运营商软件、各种合同订单表格、网银支付类软件、系统软件、以及各种照片图片,是木马最爱伪装的目标。

image3

4、最爱伪装的运营商软件Top10

“中国移动”、“掌上营业厅”、“移动客户端”、“积分兑换”、“10086”、“移动营业厅”、“中国移动客户端”、“移动证书”、“移动掌上客户端”、“掌上移动”,是木马最爱伪装的运营商软件。

image4

5、最爱仿冒的网银支付类软件

淘宝是这类木马最爱仿冒的,其次是支付宝、建设银行、银联、招行等银行软件。

image5

6、最爱伪装的合同订单表格类名称Top10

这类木马最爱伪装成各类表格、订单,诱骗用户安装,特别是诱骗网店店主安装。

image6

7、最爱伪装的照片图片类名称Top10

这类木马也爱伪装成各种照片、相册等各种图片,诱骗好奇的用户上当受骗。

image7

8、其他爱伪装的实用软件

信用卡、贷款类软件也是这类木马爱伪装的目标,有部分用户需要短期的资金周转,而正规的信用卡及贷款申请门槛较高,又有申请周期长、所需资料繁多、审核严格等条件限制。木马作者正是利用了这一点,声称能够快速申请,及时放款,来引诱人们上当受骗。常伪装的有:

image8

9、感染用户地区分布

我们对该木马家族8、9月份新增样本进行了用户感染地区分布统计,从下图可以看出感染量最大的三个地区分别是广东15.94%、山东6.29%、江苏6.04%。

image9

三、传播方式 我们发现该木马家族的传播方式与以往的木马家族传播方式不同,它更倾向于社工学的方向,并不是主要依靠第三方市场传播,而是主要依靠二维码、网盘和短信链接等方式有针对性的点对点传播,淘宝卖家和经常使用社交类软件的用户更容易中招。这里我们列举2个常见的传播感染场景。 1、淘宝卖家扫描二维码 淘宝卖家收到买家消息,买家声称已经把要买货物清单列出来了,诱骗卖家用手机扫描下载安装后核对,卖家安装后中招。

image10

2、伪基站短信仿冒银行信用卡积分兑换 伪基站可以模拟任意号码,用户收到伪基站发送的信用卡积分兑换短信,由于号码与银行一致用户极难区分真实性,从而诱导用户下载安装,导致用户中招。

image11

四、窃取隐私手段

1、利用图标、界面与官方版本相似进行钓鱼,窃取用户主动输入的重要隐私信息。

image12image13

image14image15

1122331

2、利用各种方式诱导用户安装,在用户未知情的情况下后台通过短信、Web和邮件等方式回传,窃取用户重要隐私信息。

1)通过短信方式窃取。

11223312

2)通过Web方式窃取

image20

image21

3)通过邮件方式窃取

image22 image23

五、木马对抗方式

我们在对该木马家族持续的演变过程中发现,该木马家族具备样本体积小,恶意代码变化速度快,与安全软件的查杀对抗方式多等特点。这里我们列举了比较有代表性的十三种对抗方式。

1、隐藏自身

首次安装后木马一般会显示图标,一旦用户点击运行木马,木马会通过调用setComponentEnabledSetting API进行图标隐藏,只能在程序列表中找到,到达隐藏自身避免被发现的目的。

image24

2、强制激活设备管理器

激活设备管理器是防止卸载的一种手段,近期我们发现该木马家族绘制假的信息通知界面将可选激活演变到强制激活。

image25

3、释放子包

我们从该木马家族中一些仿冒的网银支付类样本中发现,这些类型的恶意软件通常由母包和子包组成。母包功能一般是窃取用户隐私信息的同时以各种安全中心、支付插件、系统更新等的名义诱导用户安装子包。子包功能同样是窃取用户隐私,达到即使用户删除任意一个木马,另一个木马依然能正常运行的双层“保护”。

image26image27

4、结束安全软件运行

与PC平台的传统对抗方式一样,结束或破坏安全软件正常运行是木马家族常见的攻击手段之一

image28

5、伪装卸载成功页面

用户一旦察觉软件有问题,想要通过系统的程序管理卸载,这时该木马家族会伪造一个假的卸载程序并弹出假的软件成功卸载的通知。

image29

image30image31

6、代码混淆

木马作者通过代码混淆增加木马分析的时间,下面列举了几个混淆过的样本类名

image32

7、字符串加密

木马作者使用ApkProtect等工具进行字符串加密,增加木马分析难度,下图为部分恶意代码解密前后对比

image33

image34

8、反射调用

我们发现该木马家族的部分样本采用了反射方式发送短信,这种方式可以对抗安全厂商的对高危API的静态扫描

image35

9、动态加载

利用Android中的类装载器DexClassLoader,木马作者将自己用来作恶的核心代码通过联网或本地释放的方式来加载运行,这种手段更加隐蔽。

image36

image37

image38

10、自校验

自校验是一种保护软件不被篡改的技术,而木马作者利用这种技术来对抗调试和一些基于smali重打包监控软件行为的方法。下图为该木马家族自校验证书的部分代码

image39

11、Native代码

今年我们发现了一些ELF的木马家族,木马已经不局限在Java层活跃而逐渐向.so过渡。我们也在该家族中发现恶意代码在.so中实现。

image40

image41

image42

12、加固

加固是一把双刃剑,保护开发者APP的同时也成为木马作者的一把“保护伞”,成为木马作者目前终极对抗手段。近期活跃的该家族样本中,使用加固的占据了一定比例。

image43

13、另类的对抗

我们在跟踪这类木马家族演变过程中,发现了一些奇特的样本名字,木马作者“精心”研究了各家安全厂商的安全警告,也是一种另类的自我“保护”的方法。

image44

六、总结

近年来随着移动通信技术的发展,人们的社交、网购活动越来越频繁,支付方式也越来越多样化,其中手机支付安全问题日益突现。与此同时,从该木马家族自去年开始出现,到今年呈现爆发式增长,也可以看出木马作者同样看到牟利的机会。该木马家族具备变化速度快、对抗方式多、传播渠道准,感染成功率高,造成用户经济损失大等特点,传统安全软件的特征覆盖的时效性有一定的滞后,不能及时有效的查杀,造成用户财产损失。

360手机卫士针对该木马家族特性采用“云+端”的查杀策略,本地使用AVE强大引擎,有效覆盖该木马家族样本,云端采用QVM自主学习引擎,能够及时有效覆盖该木马家族变种。同时,我们推出了手机支付保镖功能,可以有效保护用户支付短信及支付场景安全。另外,我们建议用户在下载手机应用时最好到360手机助手等安全可靠的应用市场或者官方网站下载,不要轻易点击未知来源的链接下载安装软件。我们将继续紧密关注这类木马家族的发展并提供安全保护方案。

本文链接:https://blogs.360.net/post/analysis_of_faketaobao_family.html

-- EOF --

作者 dqriot 发表于 2014-09-16 08:50:47 ,添加在分类 木马分析 下 ,并被添加「 360mobile 」标签 ,最后修改于 2018-08-22 12:10:54

分享到:新浪微博微信Twitter印象笔记QQ好友有道云笔记

Comments