1.概述
最近,我们在恒安嘉信态势感知平台上监控了一个模仿韩国音乐应用程序的病毒样本。经安全研究人员分析,发现该应用程序窃取用户设备短信、联系人、设备信息等敏感数据,然后隐藏图标,在后台长期运行。
图1-1 态势感知平台监控的样本信息
2.详细分析
2.1请求敏感权限(1)应用程序的整体运行过程并不复杂,应用程序启动后通过第三方SDK(yanzhenjie)请求敏感权限。
图1-2 使用第三方接口要求敏感权限
(2)yanzhenjie是第三方开源库,主要用于实现动态请求权限。
图1-3 第三方SDK包信息
2.2Binder处理信息的机制
(1)启动主服务,通过binder机制发送消息:
图1-4 发送消息
图1-5 处理消息
(2)循环处理信息,依次执行获取和上传用户设备联系人、短信、设备等信息任务。
图1-6 循环处理任务
2.3服务器通信
(1)连接服务器:上传用户手机号码imei、设备类型等信息。
图1-7 上传用户设备信息
图1-8 抓包数据
(2)恶意软件在与服务器通信前会检测网络状态:
图1-9 监测网络连接状态
(3)如果用户的手机设备没有连接到网络,则获取设备APN类型(网络接入点)。
图1-10 硬编码的APN类型
图1-11 获取APN类型
(4)根据手机APN通信类型设置代理:
图1-12 设置通信代理
(5)如果用户设备已连接,则通过http协议通信:
图1-13连网通信
图1-14 向服务器发送请求
2.4窃取隐私信息
(1)注册短信接收广播,获取用户短信。
图1-15 获取用户收到的短信
将获得的短信转换为json将格式发送到服务器:
图1-16 发送的短信数据包
(2)通过binder执行获取联系人信息并发送到服务器的消息机制:
图1-17 获取用户联系人信息
图1-18 发送联系人数据包
(3)通过数据库查找用户设备的短信箱信息并发送到服务器:
图1-19 获取用户短信箱信息
(4)获取用户设备的照片信息并发送到服务器,但代码中没有调用:
图1-20 获取照片信息并发送到服务器
恶意软件打印的日志信息包含大量用户敏感信息:
图1-21 恶意软件日志信息
2.5服务器列表
(1)最新注册服务器地址2020-06-09。
图2-1 域名最新注册时间
(2)IP指向美国洛杉机。
图2-2 IP指向美国
(3)扩展分析服务器地址,发现应用程序的下载地址:http://api090501.ca***ac.xyz/1.apk,通过修改apk其他数字可以下载不同的应用程序。可以下载的文件名序号是1-3的apk文件,这三个apk文件代码行为完全相同,但图标和应用程序名称不同。
图2-3 类似恶意软件家族
3.总结
根据该应用程序的应用名称和分发网站,病毒软件主要针对韩国用户,威胁行为人使用不同的恶意软件来传播感染用户设备,以窃取用户隐私数据。阴影安全实验室将继续监控恶意移动软件的状态,及时为移动用户提供最新的风险舆论。