欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Ewind:披着合法应用外衣的广告软件

来源:本站整理 作者:佚名 时间:2017-04-19 TAG: 我要投稿

一、前言
自2016年年中以来,我们捕获到了Andorid广告软件“Ewind”的多个全新变种。隐藏在广告软件背后的攻击者使用了一种简单但行之有效的方法,他们下载流行的、合法的Android应用,对其反编译,添加恶意代码,然后重新封装为APK包。攻击者通过俄语Android应用网站分发这些木马应用。
Ewind的目标应用包括一些广受欢迎的Android应用,比如侠盗猎车-罪恶都市(GTA Vice City)、AVG Cleaner、Minecraft口袋版、Avast!勒索软件专杀工具、VKontakte以及Opera移动版。
虽然Ewind本质上是个广告软件,可以通过受害者设备向用户显示广告来谋取利益,但它也包括其他功能,比如收集设备数据、向攻击者转发用户短信。该广告软件实际上可以允许攻击者通过远程方式完全控制已感染的设备。
我们认为Ewind所涉及的应用软件、插入的广告以及托管网站背后的攻击者是俄罗斯人。
二、初步分析
我们通过AutoFocus观察到大量重新封装的APK,使用了相同的可疑证书进行签名。通过“keytool”工具,我们识别出一些不同的签名证书元素,所有样本中的证书存放位置一致,位于“META-INF/APP.RSA”处,证书信息如下所示:
owner=CN=app
issuer=CN=app
md5=962C0C32705B3623CBC4574E15649948
sha1=405E03DF2194D1BC0DDBFF8057F634B5C40CC2BD
sha256=F9B5169DEB4EAB19E5D50EAEAB664E3BCC598F201F87F3ED33DF9D4095BAE008
这些重新封装的APK包括反病毒应用以及其他著名的应用,这也进一步引起我们的警觉。
三、技术分析
Ewind存在多个变种,我们对其中一个“AVG Cleaner”样本进行分析,样本哈希值如下:

9c61616a66918820c936297d930f22df5832063d6e5fc2bea7576f873e7a5cf3
该样本下载自“88.99.112[.]169”,这个地址也承载了多个Android应用商店网站。
我们可以在AndroidManifest.xml中快速识别出已添加的木马组件,因为这些组件的前缀都是“b93478b8cdba429894e2a63b70766f91”,如下所示:
b93478b8cdba429894e2a63b70766f91.ads.Receiver
b93478b8cdba429894e2a63b70766f91.ads.admin.AdminReceiver
b93478b8cdba429894e2a63b70766f91.ads.AdDialogActivity
b93478b8cdba429894e2a63b70766f91.ads.AdActivity
b93478b8cdba429894e2a63b70766f91.ads.admin.AdminActivity
b93478b8cdba429894e2a63b70766f91.ads.services.MonitorService
b93478b8cdba429894e2a63b70766f91.ads.services.SystemService
Ewind通过注册ads.Receiver广播接收器来接收以下事件:
1、启动完成事件(“android.intent.action.BOOT_COMPLETED”)。
2、屏幕关闭事件(“android.intent.action.SCREEN_OFF”)。
3、用户活动事件(“android.intent.action.USER_PRESENT”)。
ads.Receiver首次被调用时,它会收集设备环境信息,并将收集结果发往C2服务器。所收集的信息如图1所示。Ewind为每个安装实例生成一个唯一的ID,并将其作为URL参数进行传输。URL中如果包含“type=init”参数则表示Ewind首次运行。

图1. Ewind将受害者信息发往C2服务器
C2服务器按下述命令语法返回纯文本的HTTP响应报文:
[{"id":"0","command":"OK"},
{"id":15826273,"command":"changeMonitoringApps","params":{"apps":["com.android.chrome","com.yandex.browser","com.UCMobile.intl","org.mozilla.firefox","com.opera.mini.native","com.opera.browser","com.opera.mini.native.beta","com.uc.browser.en","com.ksmobile.cb","com.speedupbrowser4g5g","com.gl9.cloudBrowser","appweb.cloud.star"]}},
{"id":15826274,"command":"wifiToMobile","params":{"enable":true}},
{"id":15826275,"command":"sleep","params":{"time":720}},
{"id":15826276,"command":"adminActivate","params":{"tryCount":3}}]
Ewind将收到的每个信息存储在本地一个名为“main”的SQLite数据库中,然后依次处理每条命令。命令逐一执行完毕后,Ewind将执行结果送回C2服务器。执行结果的URL中包含“type=response”参数,如图2所示。

图2. C2服务器命令的执行结果报文
我们观察到受害者设备只有在初始化阶段才会收到“adminActivate”命令,该命令指示Ewind打开“AdminActivity”界面,试图诱骗受害者允许Ewind获得设备的管理员权限。该界面中的俄文信息翻译过来就是“点击‘Active’按钮以正确安装应用”,如图3所示。

图3. Ewind试图欺骗受害者以获取管理员权限
我们不清楚为何Ewind试图获取设备的管理员权限。这样做的一个好处就是让非专业用户难以卸载这个木马应用。Ewind使用的另一种技术是,当用户点击设备管理界面的“deactive”按钮时,Ewind会将屏幕锁定5秒,在用户解锁时将屏幕切换回正常的设置界面。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载