惡意軟件作者已經開始濫用最近的冠狀病毒恐慌作為傳播其惡意創作的手段,正如我們較早的博客之一所強調的那樣。SonicWall Capture Labs威脅研究團隊最近觀察到了該策略在Android生態系統中的使用以及以遠程訪問木馬(RAT)的形式使用。
根據Virustotal和Koodous的上傳日期(2020年2月上旬),發現了一個名為Coronavirus的Android apk,此示例似乎是相當新的。
在安裝和執行之後,此樣本請求受害者重新輸入設備上的PIN碼/圖形手勢解鎖並竊取它,同時反覆請求輔助功能:
在查看代碼結構時,很明顯在此示例中使用了某種形式的打包/編碼。類名稱看起來是隨機的,但它們本身具有結構,大多數類名稱的長度相似,並且在名稱上也具有相同的隨機性。在檢查Manifest.xml文件時,列出的大多數活動在反編譯代碼中均不可用,這表明“真實的”類文件將在運行時解密。這種機制使自動化工具難以分析代碼並做出結論。
在設備上安裝了應用程序的/ data /文件夾包含幾個有趣的文件:
ZE.json實際上是一個.dex文件,將其重命名並在dex類查看器中打開,最後向我們展示了Manifest.xml文件中缺少的類文件:
該.dex文件包含許多垃圾分類-不包含有用代碼的類-但是我們看不到包含清晰代碼的類文件。但是,我們面臨另一個挑戰,這些類中的許多字符串都經過編碼,沒有任何意義:
使用代碼中存在的解密邏輯(下面突出顯示),我們能夠解密這些字符串並瞭解該惡意軟件的實際功能:
該惡意軟件偵聽攻擊者發出的以下命令並執行相應的功能:
我們觀察到了基於代碼中存在的跟蹤的其他功能:
攻擊者可以使用其中一些命令來遠程控制設備,從而使該惡意軟件成為RAT(遠程訪問木馬)。
在我們的分析過程中,我們觀察到惡意軟件與hxxp://otispride.site和hxxp://kryll.ug進行通信,如下所示:
根據上述網絡數據包中使用的參數 -info_device- 我們可以確定正在傳輸有關受感染設備的信息。我們在下面列出的代碼中找到了更多此類參數:
該惡意軟件通過多種方式在設備上實現持久性:
Android的電池優化功能使應用程序處於暫停狀態以節省電池電量,但是由於此惡意軟件是RAT,因此它在不斷偵聽攻擊者的傳入命令時效果最佳。安裝後,此惡意軟件要求用戶忽略此應用程序的電池優化,從而阻止此應用程序進入低功耗/睡眠狀態。稍後,當我們嘗試從應用程序撤消此權限時,它會使用一個基本的防刪除技巧,即在我們撤消該權限之前,快速按下後退按鈕:
當我們嘗試撤銷無障礙服務權限時,惡意程序使用了相同的技巧:
我們試圖從設備上卸載應用程序時,發現其使用了下面的防刪除技巧:
我們可以在代碼中看到使用此技巧阻止從設備中刪除TeamViewer應用程序的痕跡。但是,此組件對我們不起作用,我們可以按照通常的方式輕鬆刪除TeamViewer。
我們最近遇到了一篇帖子,其中強調了Android惡意軟件的類似特徵。檢查帖子中提到的樣本– SHA cce3f896a0143deea326d803d27cda0faed292a3 –發現該樣本和我們分析的冠狀病毒樣本均屬於同一家族。
SonicWall Capture Labs通過以下特徵提供針對這些威脅的防護:
AndroidOS.Spyware.RT(木馬)
AndroidOS.Spyware.DE(木馬)
危害指標(IoC):
b8328a55e1c340c1b4c7ca622ad79649
ba6f86b43c9d0a34cfaac67f933146d6
閱讀更多 安全牛 的文章
