谷歌本月第二次从其官方应用商店GooglePlay下架了一款伪装成合法程序的恶意应用。被删除的应用程序属于一个名为Ztorg的Android恶意软件家族。到目前为止,已经发现了数十个Ztorg木马的新变种,它们都利用漏洞在受感染的设备上获得root权限。然而,卡巴斯基实验室的安全研究人员发现,自2017年5月下旬以来,在最新捕获的Ztorg木马(魔法浏览器、噪声检测器)变种程序中,发现其并未使用设备的root权限。黑客利用恶意木马向受感染设备发送超值短信并立即删除,用户资金在不知情的情况下被盗。什么是溢价短信?PremiumRateSMS是一种付费短信模式,通过发送特殊的短信,用户将被自动收费。例如通过手机短信捐款,办理支付业务等,最新的ztorg木马就是利用这种模式进行盈利。该技术最大化了黑客的利益并降低了被发现的风险。为什么Ztorg这么难被发现?多模拟器检测功能,可检测AndroidSDK模拟器,如genymotion、BlueStacks、buildroid。它还可以检测难以绕过的设备感染环境。使用基于XOR的字符串混淆。使用DES-CBC加密与远程服务器通信。从远程服务器下载、安装和启动Android应用程序。自去年9月以来,Ztorg恶意木马已约100次绕过谷歌的自动恶意软件检查进入官方应用市场。Ztorg恶意应用程序被称为MagicBrowser,在被删除之前被下载了50,000多次。另一个应用程序NoiseDetector的下载量已超过10,000次,上个月被删除的PrivacyLock的下载量已超过一百万。Ztorg攻击过程分析恶意程序启动后,木马会休眠10分钟,然后连接到命令与控制(C&C)服务器。这样,如果用户发现一些奇怪的东西,他们就不太可能将其链接到他们刚刚安装的应用程序。Ztorg木马使用一种有趣的技术从C&C获取命令,它向C&C提供两个GET请求,其中包括国际移动用户身份(IMSI)。第一个请求如下所示:GETc.phaishey.com/ft/x250_c.txt(其中250-IMSI的前三位数字)如果木马收到一些响应数据,则会发出第二个请求。第二个请求如下所示:GETc.phaishey.com/ft/x25001_0.txt(其中25001-IMSI的前五位数字)为什么需要国际移动用户身份(IMSI)?IMSI有趣的是前三位数字是MCC(MobileCountryCode),第三四位数字是MNC(MobileNetworkNumber)。使用这些标识符,攻击者可以识别受感染用户的国家和移动运营商,并准确选择应该发送的收费短信。为了响应这些请求,木马可能会收到一些包含一些数据的加密JSON文件。此数据应包括一个报价列表,每个报价都包含一个名为“url”的字符串字段,该字段可能包含也可能不包含实际URL。木马将尝试使用自己的类打开或查看该字段。如果这个值确实是一个真实的url,木马就会向用户显示它的内容。但是如果是假的url,它会有一个短信子串,要求用户回复一条短信,短信中包含提供的号码,如下图所示。没想到当服务器收到URL访问或短信时,木马会关闭设备声音并开始删除用户收到的所有短信。虽然我们无法获取该木马在GooglePlay上传播的任何命令,但通过分析其他具有相同功能的木马,我们得到了如下命令:{"icon":"http://down.rbksbtmk.com/pic/...","id":"-1","name":"Brower","result":1,"status":1,"url":"http://global.621.co/trace?of...”}这是一个常规的广告优惠。WAP付费订阅我们在GooglePlay商店和其他合法应用商店中发现了许多具有相同功能的恶意应用程序。有趣的是,它们看起来不像独立的木马,但更像是一些木马的附加模块。进一步研究发现,这些木马是由一个普通的Ztorg木马结合其他Ztorg模块组成的。在其中一些木马中,我们发现它们使用MCC从一个恶意的URL。因此,为了分析,我们下载了几个使用不同MCC的JS文件,可以推断这些攻击者是来自不同国家的用户。由于无法获取美国的MCC文件,只能尝试从其他国家获取的MCC文件中寻找一些功能相似的文件。我们发现所有文件都包含一个名为“getAocPage”的函数,这很可能是AoC(收费通知)。通过分析这些文件,我发现它们的主要目的是通过WAP计费对网页进行点击攻击。在攻击期间,木马可以从用户的移动帐户中窃取资金。WAP计费的攻击方式与付费短信类似,不同的是它采用的是订阅付费的形式,而不是一次性诈骗。下图是来自俄罗斯用户(MCC=250)的CnC的JS文件,也就是说木马来自于CnC接收到的URL,不仅可以是广告URL,还可以是WAP付费订阅的URL。另外,一些使用包含“/subscribe/api/”的CnCURL功能的木马程序也可能是指付费订阅功能。所有此类木马,包括来自GooglePlay的木马,都会尝试从任意设备向用户发送短信。为此,黑客使用了多种发送短信的方法,以下是“魔法浏览器”应用程序的部分代码。总而言之,从上面的代码我们可以看出黑客试图从11个不同的地方向受害者发送SMS消息,以便能够从不同的Android设备和版本发送SMS消息。此外,我们还发现了另一种变异的SMS.AndroidOS.Ztorg木马恶意程序,试图通过“am”命令发送短信,但这种方法并没有奏效。SMS木马与Ztorg恶意软件家族的关系“Magicbrowser”恶意应用程序的升级方式与Ztorg木马类似。“Magicbrowser”和“NoiseDetector”应用程序共享代码,与其他Ztorg特洛伊木马程序有许多相似之处。另外,最新版本的《噪音探测器》在安装包的assets文件夹中包含一个加密文件“girl.png”。解密后,该文件将成为Ztorg木马。我们发现了几个与其他Ztorg模块一起安装并具有相同功能的常规Ztorg木马。而不是像“魔法浏览器”那样在GooglePlay上将附加的Ztorg模块作为独立的木马传播。2017年4月,我们发现一款名为“MoneyConverter”的恶意木马在GooglePlay上被安装了数万次。它使用辅助功能服务从GooglePlay安装应用程序。因此,特洛伊木马可以在无需用户任何交互的情况下静默安装、运行和升级恶意应用程序,即使是在无法获得root权限的设备上也是如此。Root攻击演变为短信木马攻击虽然“魔法浏览器”和“噪声检测器”恶意应用程序使用相同的功能,但我们认为它们有不同的用途。前者上传较早,我们认为黑客只是测试此类恶意应用是否可以上传,上传成功后并没有更新版本。但后者不同,看起来黑客正试图上传感染了常规Ztorg木马的应用程序。但在上传过程中,他们决定添加一些恶意功能来赚钱。“噪音检测器”的更新历史证明了这一点。5月20日,黑客上传了一款名为“噪音检测器”的清洁应用。几天后,他们更新了一个未感染的版本。然后他们上传了一个包含加密ztorg木马的版本,但无法解密和执行它。第二天,他们终于更新了短信木马的功能,但仍然没有添加用于解密和执行的Ztorg模块。最有可能的是,如果该应用尚未从GooglePlay中删除,他们会在下一阶段添加此功能,也有可能是在尝试添加此功能时,Google发现了木马的存在并导致其被删除.总结我们发现了一种通过GooglePlay传播的不寻常的SMS木马。它不仅使用了十几种方法来发送短信,而且还以一种特殊的方式初始化这些方法:使用CNC的命令来处理网页加载错误。它可以打开广告网址,而且它与具有相同功能的Ztorg恶意软件有关,通常由Ztorg作为附加模块安装。通过分析这些应用,我们发现黑客通过点击攻击劫持了WAP支付服务。这意味着该木马不仅可以打开广告链接、发送付费短信,还可以通过WAP支付服务打开网页、窃取账户资金。为了隐藏此类活动,特洛伊木马会关闭设备的声音并删除所有收到的短信。这不是Ztorg木马第一次在GooglePlay上传播,例如,在4月份,他们上传了一个模块,允许用户点击GooglePlayStore应用程序按钮来安装甚至购买这些推广的应用程序。MD5F1EC3B4AD740B422EC33246C51E4782FE448EF7470D1155B19D3CAC2E013CA0F55366B684CE62AB7954C74269868CD91A44A9811DB4F7D39CAC0765A5E1621AC1142C1D53E4FBCEFC5CCD7A6F5DC7177文章来源于securelist、securityaffairs,阿里聚安全编译更多安全类热点资讯及知识分享,请持续关注阿里聚安全博客网址:https://jaq.alibaba.com/commu...
