-
-
[原创]Macbeth病毒植入流行社交应用,上亿用户或受影响
-
发表于: 2016-5-20 14:54
-
前言
Macbeth,又名麦克白,
莎士比亚四大悲剧中《麦克白》主人公,
作为国王表弟、帝国将军,为一己私利,弑兄篡位,
为巩固统治,害死亲友,屠杀人民,众叛亲离,人神共愤,
后被原国王之子和英格兰援军围攻,人首分离,可悲可叹。
你以为这只发生在小说中?在黑产恶意势力与安全防护阵营这场无硝烟的战争中,这种“篡位谋利”的事情可是屡见不鲜呢~
最近,安天AVL移动安全和猎豹移动安全实验室共同截获病毒Macbeth,一种篡改国际知名社交应用并植入恶意模块的病毒。该病毒篡夺正常应用的手机入口,运行后立即加载恶意核心模块,窃取用户银行卡余额信息、下载提权模块私自获取用户设备Root权限并通过远程控制指令控制感染设备实现一系列恶意行为,如上传地理位置等隐私信息、获取并上传所有短信和联系人信息、私自下载安装或卸载指定应用等,造成用户严重的隐私泄露和资费损耗。
我们最早在2016年2月初开始关注该类恶意程序。目前被植入该类恶意模块的应用包含俄国比较流行的“Одноклассники”,“Write SMS by voice ”,“ДругВокруг”等知名应用。
恶意程序运行流程
1. Macbeth病毒启动后联网下载核心功能模块并动态加载其中的恶意功能。
2. 核心模块运行时将后台私自向“sberbank”,“qiwi”,“alfabank”等银行发送查询受害用户相关银行卡余额的短信,并将拦截的银行回执短信上传到攻击者服务器。
3. 核心模块运行时会检查用户手机是否有Root权限,若不包含Root权限,会后台下载提权子模块加载运行并对受害用户手机进行提权操作。
4. 核心模块当中包含大量指令的解析功能,通过联网获取相关的远程控制指令,会执行相应的远程控制操作,如上传IMEI号、拦截并上传指定短信、强制锁定屏幕等。
Step1伴随宿主应用运行
Macbeth病毒被植入到正常的应用中,随着被植入的宿主应用运行。目前我们观察到Macbeth病毒的启动方式分为两种:
1. 在正常应用的入口中启动。
2. 篡改正常程序入口后,从Macbeth病毒程序模块中去启动正常的应用。
该病毒主要有以下三种植入的代码包结构:
Step2核心模块云端下载
Macbeth病毒启动后,联网获取核心功能模块DEX_API.apk,动态调用核心功能模块,并将下载的核心模块存放在了隐蔽性强的data/data/<packagename>/cache目录下。通过这种方式Macbeth病毒成功躲开了部分杀毒软件的检测。
Step3核心模块相关恶意行为解析
通过短信窃取银行类隐私信息
在核心功能模块运行时,Macbeth病毒会分别向如下表所示的银行服务号发送相应的短信内容查询用户关联银行卡的余额的信息。当接收到银行的回执短信时,Macbeth病毒会将拦截的短信号码和内容存储到本地创建的数据CoonDB.db中的”local_task”表中,并联网将其上传到攻击者的服务器。
银行和短信相关命令如下表:
类Framaroot模块给手机提权
核心功能模块运行时,Macbeth病毒会通过联网下载提权模块libcoon.so,通过类FramaRoot模块利用Android系统漏洞对用户设备进行提权。
远程控制加密文件名、锁定手机屏幕
核心功能模块联网获取到指令信息后,Macbeth病毒会根据指令信息“ENCRYPT_FILES”将远程控制指令中指定路径的文件名进行改名加密,加密方式为:Base64加密+拼接”coon#”前缀。
指令“LOCK_DEVICE”可以通过自定义浏览器全屏置顶访问指令当中设定的LockUrl来锁定受害用户的手机屏幕。
在核心模块当中,Macbeth病毒对大量的远程控制指令进行了设置,并实现了相应的远程控制功能,主要远程控制指令信息及相关功能如附录4所示(附录内容请进入a99K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2S2N6X3I4&6N6h3&6Q4x3X3g2U0L8$3@1`. 参看Blog完整文章)。当前分析样本远程控制指令服务器IP为:190.*.*.106,端口号为2667。
安全建议
正常应用被恶意篡改并植入恶意模块的现象层出不穷,我们建议应用开发团队注重自身产品保护,采用加固技术对代码进行混淆、加壳等,避免被攻击者恶意篡改和重打包,造成品牌以及用户的严重损失。
针对Macbeth系列病毒,AVL Pro和猎豹安全大师已经实现全面查杀。安天AVL移动安全和猎豹移动安全实验室提醒您:
1. 请保持良好的上网习惯,不要在非官方网站或者不知名应用市场下载任何应用;
2. 在有绑定银行卡行为的手机上,强烈建议您安装杀毒软件,并养成良好的病毒扫描习惯;
3. 尽量不要Root手机,已Root的手机用户请务必谨慎,不要轻易授予Root权限给您不信任的软件。
2014年,猎豹与安天AVL移动安全团队达成引擎战略合作。安天AVL移动安全作为移动安全领域的顶级安全能力供应商,除了为猎豹提供安全服务外,还与国内外众多知名厂商达成深度安全合作,为小米、阿里云、OPPO、努比亚、步步高、LBE、安卓清理大师,Trustlook、AMC等合作伙伴提供移动反恶意代码能力,为全球过亿终端用户保驾护航。
转载请注明来源:0dfK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2S2N6X3I4K6k6h3y4Q4x3X3g2U0L8$3#2Q4x3V1k6Q4x3@1k6H3i4K6y4p5x3K6t1K6y4H3`.`.
Macbeth,又名麦克白,
莎士比亚四大悲剧中《麦克白》主人公,
作为国王表弟、帝国将军,为一己私利,弑兄篡位,
为巩固统治,害死亲友,屠杀人民,众叛亲离,人神共愤,
后被原国王之子和英格兰援军围攻,人首分离,可悲可叹。
你以为这只发生在小说中?在黑产恶意势力与安全防护阵营这场无硝烟的战争中,这种“篡位谋利”的事情可是屡见不鲜呢~
最近,安天AVL移动安全和猎豹移动安全实验室共同截获病毒Macbeth,一种篡改国际知名社交应用并植入恶意模块的病毒。该病毒篡夺正常应用的手机入口,运行后立即加载恶意核心模块,窃取用户银行卡余额信息、下载提权模块私自获取用户设备Root权限并通过远程控制指令控制感染设备实现一系列恶意行为,如上传地理位置等隐私信息、获取并上传所有短信和联系人信息、私自下载安装或卸载指定应用等,造成用户严重的隐私泄露和资费损耗。
我们最早在2016年2月初开始关注该类恶意程序。目前被植入该类恶意模块的应用包含俄国比较流行的“Одноклассники”,“Write SMS by voice ”,“ДругВокруг”等知名应用。
恶意程序运行流程
1. Macbeth病毒启动后联网下载核心功能模块并动态加载其中的恶意功能。
2. 核心模块运行时将后台私自向“sberbank”,“qiwi”,“alfabank”等银行发送查询受害用户相关银行卡余额的短信,并将拦截的银行回执短信上传到攻击者服务器。
3. 核心模块运行时会检查用户手机是否有Root权限,若不包含Root权限,会后台下载提权子模块加载运行并对受害用户手机进行提权操作。
4. 核心模块当中包含大量指令的解析功能,通过联网获取相关的远程控制指令,会执行相应的远程控制操作,如上传IMEI号、拦截并上传指定短信、强制锁定屏幕等。
Step1伴随宿主应用运行
Macbeth病毒被植入到正常的应用中,随着被植入的宿主应用运行。目前我们观察到Macbeth病毒的启动方式分为两种:
1. 在正常应用的入口中启动。
2. 篡改正常程序入口后,从Macbeth病毒程序模块中去启动正常的应用。
该病毒主要有以下三种植入的代码包结构:
Step2核心模块云端下载
Macbeth病毒启动后,联网获取核心功能模块DEX_API.apk,动态调用核心功能模块,并将下载的核心模块存放在了隐蔽性强的data/data/<packagename>/cache目录下。通过这种方式Macbeth病毒成功躲开了部分杀毒软件的检测。
Step3核心模块相关恶意行为解析
通过短信窃取银行类隐私信息
在核心功能模块运行时,Macbeth病毒会分别向如下表所示的银行服务号发送相应的短信内容查询用户关联银行卡的余额的信息。当接收到银行的回执短信时,Macbeth病毒会将拦截的短信号码和内容存储到本地创建的数据CoonDB.db中的”local_task”表中,并联网将其上传到攻击者的服务器。
银行和短信相关命令如下表:
类Framaroot模块给手机提权
核心功能模块运行时,Macbeth病毒会通过联网下载提权模块libcoon.so,通过类FramaRoot模块利用Android系统漏洞对用户设备进行提权。
远程控制加密文件名、锁定手机屏幕
核心功能模块联网获取到指令信息后,Macbeth病毒会根据指令信息“ENCRYPT_FILES”将远程控制指令中指定路径的文件名进行改名加密,加密方式为:Base64加密+拼接”coon#”前缀。
指令“LOCK_DEVICE”可以通过自定义浏览器全屏置顶访问指令当中设定的LockUrl来锁定受害用户的手机屏幕。
在核心模块当中,Macbeth病毒对大量的远程控制指令进行了设置,并实现了相应的远程控制功能,主要远程控制指令信息及相关功能如附录4所示(附录内容请进入a99K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2S2N6X3I4&6N6h3&6Q4x3X3g2U0L8$3@1`. 参看Blog完整文章)。当前分析样本远程控制指令服务器IP为:190.*.*.106,端口号为2667。
安全建议
正常应用被恶意篡改并植入恶意模块的现象层出不穷,我们建议应用开发团队注重自身产品保护,采用加固技术对代码进行混淆、加壳等,避免被攻击者恶意篡改和重打包,造成品牌以及用户的严重损失。
针对Macbeth系列病毒,AVL Pro和猎豹安全大师已经实现全面查杀。安天AVL移动安全和猎豹移动安全实验室提醒您:
1. 请保持良好的上网习惯,不要在非官方网站或者不知名应用市场下载任何应用;
2. 在有绑定银行卡行为的手机上,强烈建议您安装杀毒软件,并养成良好的病毒扫描习惯;
3. 尽量不要Root手机,已Root的手机用户请务必谨慎,不要轻易授予Root权限给您不信任的软件。
2014年,猎豹与安天AVL移动安全团队达成引擎战略合作。安天AVL移动安全作为移动安全领域的顶级安全能力供应商,除了为猎豹提供安全服务外,还与国内外众多知名厂商达成深度安全合作,为小米、阿里云、OPPO、努比亚、步步高、LBE、安卓清理大师,Trustlook、AMC等合作伙伴提供移动反恶意代码能力,为全球过亿终端用户保驾护航。
转载请注明来源:0dfK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2S2N6X3I4K6k6h3y4Q4x3X3g2U0L8$3#2Q4x3V1k6Q4x3@1k6H3i4K6y4p5x3K6t1K6y4H3`.`.
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
