阿拉伯木马成功汉化,多款APP惨遭模仿用于攻击
2020-01-20 11:00:09 Author: www.freebuf.com(查看原文) 阅读量:356 收藏

概述

近日,奇安信病毒响应中心在日常样本监控过程中发现了一批伪装成点读通.apk、作业帮.apk、手机找回.apk、PUBG.apk等国内用户常用软件的MobiHok家族样本。

样本在执行过程中为了迷惑用户会安装内置的正规APK,真正的恶意程序则隐匿执行,用户在此过程中一般感觉不到异常,从而窃取用户短信、联系人、通话记录、地理位置、键盘记录、文件目录、应用信息、手机固件信息、录音、录像、截屏、拨打电话、发送短信等。

基于奇安信的多维度大数据关联分析,我们已经发现国内有用户中招,为了防止危害进一步扩散,我们对该远控木马进行了详细分析,并给出解决方案。

MobiHokRAT简介

MobiHok最早在2019年七月份在地下论坛中被发现,售卖者名为“Mobeebom”,除了在多个阿·拉伯语地下论坛活跃之外,售卖者还通过FaceBook、youtube进行宣传,在FaceBook进行宣传时同样使用了阿拉伯文。

YouTube中拍摄了各个版本的运行视频和一些安全机制绕过方法:

目前V4版本已经免费,在其官网上可以下载,其余版本收费情况如下,价格不菲:

相关证据表明在V4版本免费之后,国内使用该家族的团伙逐渐变多,且V4版本就可以绕过华为、三星、Google Play安全机制和FaceBook身份验证。奇安信监控的数据如下:

V4版本主控端界面如下:

Mergin App项中可以嵌入任意正规APP。

样本分析

相关样本如下:

申请的权限:

该远控APK木马功能复杂,在执行过程中会运行内置正规Apk软件来迷惑用户,可以从资源中dump出正规的apk文件:

安装后为作业帮app:

而木马则在手机中隐秘执行,监听电池变化的广播,每当电池电量有变化时,计算百分比,并获取充电类型:

获取手机网络链接类型:

测试是否能访问www.google.com:

查看屏幕保护的状态:

会静默安装内置的正规APP,并启动:

kforniwwsw0类作为服务在MainActivity中被调用,连接远程C2服务器:

远控功能列表整理如下

指令参数 指令功能
calls_delete 删除通话记录
OpenApp 打开指定app
KeyStart 配置相关
ViewFile 文件查看
WriteFiles 文件写入
fcbkopen() 创建子目录
ConnectedDownloadManager 指定URL下载者
AccountManager() 账户管理
MicrophoneStop() 麦克风停止
ViewFileVideoPlay 浏览视频文件
PlayStop 停止播放
Apps() 枚举安装的app
DelLog 删除日志
GetLog 获取日志
gglopen() 获取指定app信息
SaveEdit 保存编辑
REHost 修改Host
StartServiceGLocation() 启动位置服务
CompressFiles 压缩文件
DownManager 下载者
CallsManager() 通话记录管理
DDownManager Socket管理
WinCall 联网环境下电话呼入呼出
StartServiceCamera 开启摄像头服务
contacts_delete 联系人删除
Microphone20() 麦克风相关
deleteFiles 删除文件
Terminal 远程终端
SetWallpaper 设置手机背景墙
FileManager2 文件管理
FileDelete 文件删除
Microphone() 麦克风相关
ContactsManager() 联系人管理
properties 获取properties文件
FileMove 文件移动
FileRename 文件重命名
FSettings 获取设备相关信息
_VibratorOff 设置相关
contacts_write 添加联系人
FUN 恶搞相关
FControl 控制音量、蓝牙、GPS、WIFI等功能
AmDPM 修改锁屏密码
FileManager 文件管理
toast 弹框
unzip 解压缩
PlayStart 开始播放
FindCamera() 寻找摄像头设备
SMSManager 短信管理
key_logger 键盘记录
ListenMicrophone 麦克风监听
FileStart 弹出文件
FileWrite 文件写入
ViewFileVideoBreak() 视频相关
StopServiceGLocation() 停止定位服务
KeyStop 设置相关
CallPhone 拨打电话
_Vibrator 设置相关
chatOpen 打开聊天框
chat_set 聊天设置
edithost 修改Host
EditFile 修改文件
SetParameters 设置摄像头参数
StopServiceCamera() 停止摄像头服务
InfDownManager 下载者

相关的远控操作:

相关功能代码:

FSettings获取本机设备相关信息,如手机号、SDK_INT、Language、Siminfo、IMSI、IMEI、MAC、SSID、RSSI等相关信息:

获取当前音频模式:

获取手机摄像头相关信息:

获取通话记录相关信息。姓名、电话号、类型、持续时间:

录音功能:

文件管理:

音频管理:

键盘记录:

下载者:

获取联系人信息:

拨号功能:

添加新联系人:

总结

近年来,诸如SpyNote、AhMyth、AndroRAT等安卓远控相继免费甚至公开源代码,黑产向移动端转型的成本大大降低,相比于PC端的远控,安卓远控在地下论坛中售价较为便宜,1500-2500不等,有些中间商甚至使用开源的远控框架不做任何免杀就在地下论坛进行贩卖。

奇安信病毒响应中心提醒用户不要安装未知来源的APP,同时提高个人的安全意识,从而可以防止用户隐私信息被盗取的风险,目前奇安信威胁情报中心文件深度分析平台,奇安信病毒响应中心会移动安全团队会持续对新型远控框架的跟踪,目前奇安信威胁情报中心文件深度分析平台

https://sandbox.ti.qianxin.com/sandbox/page)已支持Android样本分析:

同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对该家族的精确检测。

*本文作者:奇安信威胁情报中心,转载请注明来自FreeBuf.COM


文章来源: https://www.freebuf.com/articles/terminal/224438.html
如有侵权请联系:admin#unsafe.sh