1.概述近日,我们在恒安佳信态势感知平台上检测到一个仿冒韩语音乐应用的病毒样本。安全研究人员分析后发现,该应用在用户不知情的情况下,从用户设备中窃取短信、联系人、设备信息等敏感数据,然后隐藏图标长期保持后台运行。图1-1态势感知平台监控示例信息2.详细分析2.1请求敏感权限(1)应用整体运行过程并不复杂。应用启动后,通过第三方SDK(颜真界)请求敏感权限。图1-2使用第三方接口请求敏感权限(2)yanzhenjie是一个第三方开源库,主要用于实现动态请求权限。图1-3第三方SDK包信息2.2Binder机制处理消息(1)启动主服务,通过Binder机制发送消息:图1-4发送消息图1-5处理消息(2)循环处理消息,依次执行获取和执行上传用户设备联系人、短信、设备等信息的任务。图1-6循环处理任务2.3服务器通信(1)连接服务器:上传用户手机号、串号、设备类型等信息。图1-7上传用户设备信息图1-8抓取数据(2)在与服务器通信之前,恶意软件会先检测网络状态:图1-9监控网络连接状态(3)如果用户的移动设备是未连接到网络,获取设备APN类型(网络接入点)。图1-10硬编码APN类型图1-11获取APN类型(4)根据手机APN类型设置代理通信:图1-12设置代理通信(5)如果用户设备连接到互联网,将通过http协议进行通信:图1-13网络通信图1-14向服务器发送请求2.4窃取隐私信息(1)注册短信接收广播,获取用户短信。图1-15获取用户收到的短信并将获取的短信转化为json格式发送给服务器:图1-16发送的短信数据包(2)通过binder消息机制并发送给服务器:图1-17获取用户联系信息图1-18发送联系人数据包(3)通过数据库查找获取用户设备的短信邮箱信息并发送给服务器:图1-19获取用户短信信息(4)获取用户设备照片信息发送到服务器,但代码中没有调用:图1-20获取照片信息发送到服务器日志信息恶意软件打印的内容包含大量用户敏感信息:图1-21恶意软件日志信息2.5服务器列表(1)服务器地址最新注册时间为2020-06-09。图2-1域名最新注册时间(2)IP指向美国洛杉矶。图2-2IP指向美国(3)扩展分析服务器地址发现应用的下载地址:http://api090501.ca***ac.xyz/1.apk,通过修改名称apk文件到其他号码可以下载不同的应用程序。其中文件名和序号为1-3的apk文件可以下载。这三个apk文件的代码行为完全一样,只是图标和应用名称不同。图2-3相似恶意软件家族3.总结从应用名称和应用分发网站来看,该病毒软件主要针对韩国用户,威胁行为者使用假冒韩国应用的不同恶意软件传播感染用户设备。以达到窃取用户隐私数据的目的。影子安全实验室将持续关注手机恶意软件的动态,及时为手机用户提供最新的风险舆情。
