欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Fake System木马惊现新变种,百万Android设备沦为肉鸡

来源:本站整理 作者:佚名 时间:2018-09-07 TAG: 我要投稿

一、概述
近期,腾讯反诈骗实验室自研的TRP-AI反病毒引擎捕获到一批大肆传播的Android后门木马病毒样本,此木马在用户设备上存在私自获取设备信息、后台频繁安装应用、后台发送短信等可疑行为。目前,腾讯手机管家客户端已全面查杀FakeSystem病毒家族,已深度集成腾讯TRP-AI引擎的魅族手机用户可以完美防御该家族病毒的入侵。
经过安全专家的分析,这批病毒样本属于“Fake System”木马家族的新变种,此木马家族的样本基本上都是以“Power”、“UI组件”、“SystemBase”、“进程管理”和“系统工具”等明显仿冒系统应用的软件名进行命名,最早的样本出现在2016年8月。“Fake System”木马病毒潜伏周期很长,使用了多种先进的“逃逸”技术来对抗杀软,并集成了三大主要的黑产变现手段以牟取灰色收益。
三大技术对抗技术:
1)静态检测技术逃逸:类名、方法名混淆成特殊符号,字符串隐藏未加密数组,每个类自动化生成不同的加密算法。
2)动态沙箱检测逃逸:18种设备状态监控,包括模拟器文件,xposed框架,ADB、Debugger和Usb连接状态等,全面识别非用户运行环境。
3)第三代云逃逸:将恶意功能剥离成payload文件并存储在云服务器,通过云端下发payload文件,在用户设备执行恶意功能代码.传统厂商很难捕获恶意代码进行检测。
三大黑产变现手段:
1)恶意推广应用:从云端获取应用推广任务,对不同用户推广ROM内和ROM外应用。
2)恶意扣费短信:从云端获取扣费短信任务,操控中毒设备发送扣费短信。
3)广告作弊刷量:多广告平台,多种类型广告支持刷量,模拟广告的拉取,点击,下载,安装等数据上报。
二、木马影响面
根据腾讯反诈骗实验室大数据引擎数据显示,近一个月时间里,“Fake System”木马新变种的感染用户增长迅猛,在过去一个月的时间里,几个新变种的感染用户都迅速增长到20万左右,与此同时总体“Fake System”木马的感染用户也大幅增长,影响近百万用户。

木马感染用户系统版本分布

腾讯安全反诈骗实验室自研的TRP-AI反病毒引擎基于应用的行为进行深度学习,能有效探测应用的可疑操作,很好的应对上述木马采用的逃逸技术,目前已全面支持查杀该木马家族。

三、木马应用详细分析
“Fake System”木马的主要传播途径有:通过色情和游戏应用进行传播;通过木马老样本的进行传播;地下刷机渠道等方式。
我们以新捕获的样本“UI”组件,对“FakeSystem”木马的作恶行为进行详细分析。
3.1 样本基本信息
应用名:UI组件
包名:dozx.wkkv.szzd.njag
证书:8c2b3fbd6fe808f0b67801ecf64f1c02

恶意行为流程图:

主要访问URL:
  设备注册
http://106.**.**.81/ad/api/sdklog.php http://123.**.**.38/main/api/sdklog.php http://106.**.**.110/main/api/update.php
JAR包更新
http://106.**.**.83/ad/api/update.php http://123.**.**.196/main/api/update.php http://106.**.**.110/main/api/update.php
任务获取
http://106.**.**.105/main/api/data.php
运行事件上报
http://106.**.**.26/main/eventlog/adlog.php
GDT刷量插件更新
http://123.**.**.196/gt/content/upd.php
3.2 样本编码特征
恶意应用从早期的样本开始就采用了很强的代码混淆技术。
1、将核心代码的类名、方法名混淆成各种特殊符号。

2、针对每个类,自动化生成不同的字符串替换加密算法,对所有的字符串信息进行加密处理,加大了病毒样本分析的难度。

3.3 恶意木马功能分析
3.3.1 木马应用主框架
木马应用启动后,主要完成以下几个动作:
1、监控设备环境;
2、连接CC服务器,注册设备;
3、设置触发器任务,并设置重复定时任务,间隔一定时间拉起触发器任务。

1)监控设备环境
应用Monitor.start()方法中对18种设备状态进行监控,包括对一些虚拟机文件,xposed框架,ADB、Debugger和Usb连接状态等信息进行监控,主要用于识别木马应用的运行环境,避免在蜜罐和试验环境中触发恶意行为。

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载