Adobe Flash Player木馬驚現新變種
- 2019 年 12 月 23 日
- 筆記
最近暗影安全實驗室在日常監測中發現了一款新的木馬病毒Ginp,雖然他和前兩周發布的反間諜之旅004報告中描述的「Flash Player」木馬病毒名稱很相似都帶有「Flash Player」,但是他們卻屬於不同病毒家族。
該惡意軟體的最初版本可以追溯到2019年6月初,它偽裝成「Google Play Verificator」應用程式。當時,Ginp是一個簡單的簡訊竊取器,其目的只是將用戶手機接收和發出的簡訊副本發送到C2伺服器。
在2019年8月,一個新版本發布了,增加了銀行木馬特有的功能。這個惡意軟體被偽裝成假冒的「Adobe Flash Player」應用程式,惡意軟體程式碼增強了反混淆能力。Ginp較前兩周發布的「Flash Player」木馬病毒相比除了具有木馬病毒慣用的遠控獲取用戶聯繫人列表、簡訊列表等隱私資訊的特性外,還通過註冊易訪問性服務監控用戶設備,自動授權應用敏感許可權,載入網頁覆蓋特定應用程式頁面,目的是竊取登錄憑證資訊。
一、樣本資訊
MD5:1EA4002F712DE0D9685D3618BA2D0A13 程式名稱:Adobe Flash Player 程式包名:solution.rail.forward 安裝圖標:
二、詳細分析
惡意軟體第一次在設備上啟動時,它會隱藏圖標並要求受害者提供無障礙服務特權。
一旦用戶授予請求的可訪問性服務特權,Ginp首先自動授予自己額外的許可權,以便能夠執行某些敏感的高許可權操作,而不需要受害者的任何進一步操作。完成後,惡意程式就可以正常工作了,可以接收命令並執行覆蓋攻擊。
檢測配置資訊,並將資訊發送至伺服器。以方便控制端根據配置資訊來判斷可以在受害者機器上執行哪些操作。
圖 2-1 獲取應用配置資訊
監控伺服器響應狀態,獲取C2伺服器下發的指令,竊取用戶聯繫人列表、簡訊列表等資訊。發送指定簡訊內容到指定聯繫人,目的是傳播惡意軟體。
圖2-2 獲取C2伺服器指令
指令列表
表2-1 指令列表
|
指令 |
功能 |
|---|---|
|
SENT_SMS |
從C2獲取指定簡訊內容發送至指定號碼 |
|
NEW_URL |
更新C2 URL |
|
KILL |
停止服務 |
|
PING_DELAY |
更新ping請求之間的間隔時間 |
|
ALL_SMS |
獲取所有簡訊資訊 |
|
DISABLE_ACCESSIBILITY |
停止阻止用戶禁用可訪問性服務 |
|
ENABLE_ACCESSIBILITY |
防止用戶禁用可訪問性服務 |
|
ENABLE_HIDDEN_SMS |
設置惡意軟體為默認簡訊應用程式 |
|
DISABLE_HIDDEN_SMS |
移除惡意軟體作為默認簡訊應用程式 |
|
ENABLE_CC_GRABBER |
啟用Google播放覆蓋 |
|
DISABLE_CC_GRABBER |
禁止Google播放覆蓋 |
|
ENABLE_EXTENDED_INJECT |
啟動覆蓋攻擊 |
|
DISABLE_EXTENDED_INJECT |
禁止覆蓋攻擊 |
|
START_DEBUG |
啟動調試 |
|
STOP_DEBUG |
停止調試 |
|
START_PERMISSIONS |
啟動對簡訊許可權的請求 |
|
GET_CONTACTS |
獲取所有聯繫人資訊 |
|
SEND_BULK_SMS |
發送指定簡訊到多個號碼 |
|
UPDATE_APK |
下載安裝應用 |
通過可訪問性服務AccessibilityService,監控用戶設備操作事件。
圖2-3 監控用戶設備
執行以下操作 :
(1)更新應用列表,自動下載安裝軟體:從伺服器獲取需要下載的應用鏈接、下載應用並打開安裝介面,當監測到系統彈出安裝介面時,遍歷節點,通過perforAcmtion執行點擊同意授權。
圖2-4 請求安裝介面
(2)自動授予高敏感許可權:申請接收發送讀取簡訊許可權,當監測到系統彈框請求許可權時,遍歷節點,通過perforAcmtion執行點擊同意授權。
圖2-5 自動授權、安裝軟體
(3)自我保護,防止被刪除:當監測到用戶打開的介面包含「force」強制停止、「app info」應用列表時,程式退出到HOME介面,所以用戶無法通過查看應用列表卸載該軟體。
圖2-6 打開HOME介面
(4)覆蓋攻擊:監測用戶打開的應用,從伺服器獲取網頁覆蓋目標應用,該伺服器模擬真實的應用程式頁面進行覆蓋,以竊取用戶登錄憑證。
圖2-7 覆蓋目標應用
目標軟體:
Google Play Facebook Instagram Whatsapp Chrome Skype Twitter Snapchat
下面的截圖顯示了在覆蓋攻擊時收集了什麼類型的資訊:
圖2-8 覆蓋攻擊網頁
設置惡意軟體為默認簡訊應用程式。監控用戶簡訊收發情況。
圖2-9 監聽用戶簡訊
三、伺服器地址
表3-1 伺服器地址
|
伺服器地址 |
功能 |
|---|---|
|
http://64.**.51.107/api2/ping.php |
主控 |
|
http://64.**.51.107/api2 |
載入覆蓋網頁 |
|
http://64.**.51.107/api2/sms.php |
上傳簡訊資訊 |
四、同源樣本
監測中發現的伺服器地址相同的樣本。雖然該木馬病毒暫時的目標是一些社交軟體,但是它可能正在更新另一個新版本的惡意軟體將目標轉向於銀行,用於竊取用戶更加敏感的資訊,如:資訊、資訊,以獲取利益。
表4-1 同源樣本
|
應用名稱 |
包名 |
MD5 |
|---|---|---|
|
Google Play Verificator |
sing.guide.false |
0ee075219a2dfde018f17561467272633821d19420c08cba14322cc3b93bb5d5 |
|
Google Play Verificator |
park.rather.dance |
087a3beea46f3d45649b7506073ef51c784036629ca78601a4593759b253d1b7 |
|
Adobe Flash Player |
ethics.unknown.during |
5ac6901b232c629bc246227b783867a0122f62f9e087ceb86d83d991e92dba2f |
|
Adobe Flash Player |
com.pubhny.hekzhgjty |
14a1b1dce69b742f7e258805594f07e0c5148b6963c12a8429d6e15ace3a503c |
|
Adobe Flash Player |
sentence.fancy.humble |
78557094dbabecdc17fb0edb4e3a94bae184e97b1b92801e4f8eb0f0626d6212 |
五、安全建議
由於惡意軟體對自身進行了保護,用戶通過正常方式無法卸載。可採取以下方式卸載。
(1)將手機連接電腦,在控制端輸入命令:adb shell pm uninstall 包名。 (2)進入手機/data/data目錄或/data/app目錄,卸載文件名帶有該應用包名的文件夾,應用將無法運用。 (3)安裝好殺毒軟體,能有效識別已知病毒。
很多攻擊者會通過簡訊傳播惡意軟體,所以用戶不要輕易點擊帶有鏈接的簡訊。
堅持去正規應用商店或官網下載軟體,謹慎從論壇或其它不正規的網站下載軟體。
*本文作者:暗影安全實驗室,轉載請註明來自FreeBuf.COM
