1.概述

[[343041]]

近日我們在恒安嘉新態(tài)勢感知平臺上監(jiān)測到一款仿冒韓國音樂應用的病毒樣本。經(jīng)過安全研究人員分析，發(fā)現(xiàn)該應用在用戶不知情的情況下，竊取用戶設備短信、聯(lián)系人、設備信息等敏感數(shù)據(jù)，之后便隱藏圖標保持后臺長時間運行。

 

 

圖1-1 態(tài)勢感知平臺監(jiān)測到的樣本信息

2.詳細分析

2.1請求敏感權限

(1)該應用整體運行過程并不復雜，應用啟動后便通過第三方SDK(yanzhenjie)來請求敏感權限。

 

 

圖1-2 利用第三方接口請求敏感權限

(2)yanzhenjie是第三方開源庫，主要用于實現(xiàn)動態(tài)請求權限。

 

 

圖1-3 第三方SDK包信息

2.2Binder機制處理消息

(1)啟動主服務，通過binder機制發(fā)送消息：

 

 

圖1-4 發(fā)送消息

 

 

圖1-5 處理消息

(2)循環(huán)處理消息，依次執(zhí)行獲取并上傳用戶設備聯(lián)系人、短信、設備等信息任務。

 

 

圖1-6 循環(huán)處理任務

2.3服務器通信

(1)連接服務器：上傳用戶手機號、imei、設備類型等信息。

 

 

圖1-7 上傳用戶設備信息

 

 

圖1-8 抓包數(shù)據(jù)

(2)在與服務器通信之前惡意軟件會先檢測網(wǎng)絡狀態(tài)：

 

 

圖1-9 監(jiān)測網(wǎng)絡連接狀態(tài)

(3)若用戶手機設備沒有連網(wǎng)，獲取設備APN類型(網(wǎng)絡接入點)。

 

 

圖1-10 硬編碼的APN類型

 

 

圖1-11 獲取APN類型

(4)根據(jù)手機APN類型設置代理進行通信：

 

 

圖1-12 設置代理進行通信

(5)若用戶設備已連網(wǎng)則通過http協(xié)議進行通信：

 

 

圖1-13連網(wǎng)通信

 

 

圖1-14 向服務器發(fā)送請求

2.4竊取隱私信息

(1)注冊短信接收廣播，獲取用戶短信息。

 

 

圖1-15 獲取用戶接收的短信息

將獲取的短信信轉換為json格式發(fā)送至服務器：

 

 

圖1-16 發(fā)送的短信數(shù)據(jù)包

(2)通過binder消息機制，執(zhí)行獲取聯(lián)系人信息任務并發(fā)送至服務器：

 

 

圖1-17 獲取用戶聯(lián)系人信息

 

 

圖1-18 發(fā)送聯(lián)系人數(shù)據(jù)包

(3)通過數(shù)據(jù)庫查找獲取用戶設備短信箱信息并發(fā)送至服務器：

 

 

圖1-19 獲取用戶短信箱信息

(4)獲取用戶設備照片信息并發(fā)送至服務器，但代碼內并未調用：

 

 

 

 

圖1-20 獲取照片信息并發(fā)送至服務器

惡意軟件打印的日志信息包含了大量用戶敏感信息：

 

 

圖1-21 惡意軟件日志信息

2.5服務器列表

 

 

(1)該服務器地址最新注冊與2020-06-09。

 

 

圖2-1 域名最新注冊時間

(2)IP指向美國洛杉機。

 

 

圖2-2 IP指向美國

(3)對服務器地址進行擴展分析發(fā)現(xiàn)該應用的下載地址：http://api090501.ca***ac.xyz/1.apk，通過修改apk文件名稱為其它數(shù)字能下載不同的應用。其中能下載文件名序號為1-3的apk文件，這三個apk文件代碼行為完全相同，只是圖標及應用名稱不同。

 

[[343042]] [[343043]] [[343044]]

 

圖2-3 同類惡意軟件家族

3.總結

從該應用的應用名稱以及分發(fā)網(wǎng)站來看，該病毒軟件主要針對韓國用戶，且威脅行為者利用不同的仿冒韓國應用的惡意軟件進行傳播感染用戶設備，以達到竊取用戶隱私數(shù)據(jù)的目的。

暗影安全實驗室將會持續(xù)監(jiān)控移動惡意軟件狀態(tài)，及時為移動端用戶提供最新風險輿情。