Adobe Flash Player木馬驚現新變種
- 2019 年 12 月 23 日
- 筆記
最近暗影安全實驗室在日常監測中發現了一款新的木馬病毒Ginp,雖然他和前兩周發佈的反間諜之旅004報告中描述的「Flash Player」木馬病毒名稱很相似都帶有「Flash Player」,但是他們卻屬於不同病毒家族。
該惡意軟件的最初版本可以追溯到2019年6月初,它偽裝成「Google Play Verificator」應用程序。當時,Ginp是一個簡單的短訊竊取器,其目的只是將用戶手機接收和發出的短訊副本發送到C2服務器。
在2019年8月,一個新版本發佈了,增加了銀行木馬特有的功能。這個惡意軟件被偽裝成假冒的「Adobe Flash Player」應用程序,惡意軟件代碼增強了反混淆能力。Ginp較前兩周發佈的「Flash Player」木馬病毒相比除了具有木馬病毒慣用的遠控獲取用戶聯繫人列表、短訊列表等隱私信息的特性外,還通過註冊易訪問性服務監控用戶設備,自動授權應用敏感權限,加載網頁覆蓋特定應用程序頁面,目的是竊取登錄憑證信息。
一、樣本信息
MD5:1EA4002F712DE0D9685D3618BA2D0A13 程序名稱:Adobe Flash Player 程序包名:solution.rail.forward 安裝圖標:
二、詳細分析
惡意軟件第一次在設備上啟動時,它會隱藏圖標並要求受害者提供無障礙服務特權。
一旦用戶授予請求的可訪問性服務特權,Ginp首先自動授予自己額外的權限,以便能夠執行某些敏感的高權限操作,而不需要受害者的任何進一步操作。完成後,惡意程序就可以正常工作了,可以接收命令並執行覆蓋攻擊。
檢測配置信息,並將信息發送至服務器。以方便控制端根據配置信息來判斷可以在受害者機器上執行哪些操作。
圖 2-1 獲取應用配置信息
監控服務器響應狀態,獲取C2服務器下發的指令,竊取用戶聯繫人列表、短訊列表等信息。發送指定短訊內容到指定聯繫人,目的是傳播惡意軟件。
圖2-2 獲取C2服務器指令
指令列表
表2-1 指令列表
|
指令 |
功能 |
|---|---|
|
SENT_SMS |
從C2獲取指定短訊內容發送至指定號碼 |
|
NEW_URL |
更新C2 URL |
|
KILL |
停止服務 |
|
PING_DELAY |
更新ping請求之間的間隔時間 |
|
ALL_SMS |
獲取所有短訊信息 |
|
DISABLE_ACCESSIBILITY |
停止阻止用戶禁用可訪問性服務 |
|
ENABLE_ACCESSIBILITY |
防止用戶禁用可訪問性服務 |
|
ENABLE_HIDDEN_SMS |
設置惡意軟件為默認短訊應用程序 |
|
DISABLE_HIDDEN_SMS |
移除惡意軟件作為默認短訊應用程序 |
|
ENABLE_CC_GRABBER |
啟用谷歌播放覆蓋 |
|
DISABLE_CC_GRABBER |
禁止谷歌播放覆蓋 |
|
ENABLE_EXTENDED_INJECT |
啟動覆蓋攻擊 |
|
DISABLE_EXTENDED_INJECT |
禁止覆蓋攻擊 |
|
START_DEBUG |
啟動調試 |
|
STOP_DEBUG |
停止調試 |
|
START_PERMISSIONS |
啟動對短訊權限的請求 |
|
GET_CONTACTS |
獲取所有聯繫人信息 |
|
SEND_BULK_SMS |
發送指定短訊到多個號碼 |
|
UPDATE_APK |
下載安裝應用 |
通過可訪問性服務AccessibilityService,監控用戶設備操作事件。
圖2-3 監控用戶設備
執行以下操作 :
(1)更新應用列表,自動下載安裝軟件:從服務器獲取需要下載的應用鏈接、下載應用並打開安裝界面,當監測到系統彈出安裝界面時,遍歷節點,通過perforAcmtion執行點擊同意授權。
圖2-4 請求安裝界面
(2)自動授予高敏感權限:申請接收發送讀取短訊權限,當監測到系統彈框請求權限時,遍歷節點,通過perforAcmtion執行點擊同意授權。
圖2-5 自動授權、安裝軟件
(3)自我保護,防止被刪除:當監測到用戶打開的界面包含「force」強制停止、「app info」應用列表時,程序退出到HOME界面,所以用戶無法通過查看應用列表卸載該軟件。
圖2-6 打開HOME界面
(4)覆蓋攻擊:監測用戶打開的應用,從服務器獲取網頁覆蓋目標應用,該服務器模擬真實的應用程序頁面進行覆蓋,以竊取用戶登錄憑證。
圖2-7 覆蓋目標應用
目標軟件:
Google Play Facebook Instagram Whatsapp Chrome Skype Twitter Snapchat
下面的截圖顯示了在覆蓋攻擊時收集了什麼類型的信息:
圖2-8 覆蓋攻擊網頁
設置惡意軟件為默認短訊應用程序。監控用戶短訊收發情況。
圖2-9 監聽用戶短訊
三、服務器地址
表3-1 服務器地址
|
服務器地址 |
功能 |
|---|---|
|
http://64.**.51.107/api2/ping.php |
主控 |
|
http://64.**.51.107/api2 |
加載覆蓋網頁 |
|
http://64.**.51.107/api2/sms.php |
上傳短訊信息 |
四、同源樣本
監測中發現的服務器地址相同的樣本。雖然該木馬病毒暫時的目標是一些社交軟件,但是它可能正在更新另一個新版本的惡意軟件將目標轉向於銀行,用於竊取用戶更加敏感的信息,如:信息、信息,以獲取利益。
表4-1 同源樣本
|
應用名稱 |
包名 |
MD5 |
|---|---|---|
|
Google Play Verificator |
sing.guide.false |
0ee075219a2dfde018f17561467272633821d19420c08cba14322cc3b93bb5d5 |
|
Google Play Verificator |
park.rather.dance |
087a3beea46f3d45649b7506073ef51c784036629ca78601a4593759b253d1b7 |
|
Adobe Flash Player |
ethics.unknown.during |
5ac6901b232c629bc246227b783867a0122f62f9e087ceb86d83d991e92dba2f |
|
Adobe Flash Player |
com.pubhny.hekzhgjty |
14a1b1dce69b742f7e258805594f07e0c5148b6963c12a8429d6e15ace3a503c |
|
Adobe Flash Player |
sentence.fancy.humble |
78557094dbabecdc17fb0edb4e3a94bae184e97b1b92801e4f8eb0f0626d6212 |
五、安全建議
由於惡意軟件對自身進行了保護,用戶通過正常方式無法卸載。可採取以下方式卸載。
(1)將手機連接電腦,在控制端輸入命令:adb shell pm uninstall 包名。 (2)進入手機/data/data目錄或/data/app目錄,卸載文件名帶有該應用包名的文件夾,應用將無法運用。 (3)安裝好殺毒軟件,能有效識別已知病毒。
很多攻擊者會通過短訊傳播惡意軟件,所以用戶不要輕易點擊帶有鏈接的短訊。
堅持去正規應用商店或官網下載軟件,謹慎從論壇或其它不正規的網站下載軟件。
*本文作者:暗影安全實驗室,轉載請註明來自FreeBuf.COM
