欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

对Red Alert v2.0银行木马的逆向和溯源分析

来源:本站整理 作者:佚名 时间:2018-06-29 TAG: 我要投稿

事情的起源
这一切都始于一个垃圾邮件,它带有着一个Android应用程序附件。垃圾邮件模糊地声称,该附件是一个名为SilverBox 寻找匿名性交朋友的约会应用程序。

垃圾邮件示例
这与我们平时在windows上接受到的恶意邮件和附件所不同,恶意邮件附带一个apk(Android Package Kit)文件是非常不寻常的,值得耐人寻味。我们的好奇心得到了激发并决定潜入并分析它。
 
初步分析
通过使用Apktool对APK文件进行解压缩和解码来开始分析,我们马上注意到代码被进行了严重的混淆。

DEX文件严重混淆
然后我们检查根目录中的AndroidManifest.xml文件。AndroidManifest.xml 是每个android程序中必须的文件,它位于整个项目的根目录。我们每天都在使用这个文件,往里面配置程序运行所必要的组件,权限,以及一些相关信息。清单文件显示看似随机命名的应用程序原始软件包名称。

应用程序的包名称
该应用程序的目标SDK版本代码是Android Marshmallow及更高版本,如上图所示。这字段platformBuildVersionCode中指示我们看到这个应用程序需要的Android权限列表

应用程序的Android权限
其中的大多数权限不仅让人发出疑问包括权限如:WRITE_SMS,READ_SMS,RECEIVE_SMS。CALL_PHONE,CHANGE_NETWORK_STATE。我们已经在此表中编译了此应用程序需要的所有Android权限:

该软件请求的权限
我们继续使用Android Studio的AVD(Android虚拟设备)在模拟器上安装该应用程序。正如你所看到的,应用程序需要被用户激活才能使用它。

需要被用户激活
在这个阶段,我们希望更好地理解代码,但我们发现很难绕过混淆。我们尝试使用IDAPro远程调试应用程序,这很痛苦和乏味。我们做的另一件事是让恶意软件运行,然后转储设备的内存。这帮助我们从应用程序中找到恶意软件配置和字符串。虽然这很有帮助,但仍然不够,我们需要反编译的源代码才能充分了解此恶意软件的工作原理。
在设备中,我们使用Android调试桥(ADB)工具搜索更多有趣的数据,并找到应用程序的VDEX和ODEX文件。

。VDEX文件包含APK的未压缩的DEX(Dalvic可执行)代码,而ODEX包含APK中的方法的前期编译代码。 所以,我们下一步就是使用vDexExtractor工具反编译VDEX文件。

vDexExtractor工具命令行将.vdex文件转换为.dex文件
在反编译并将.VDEX转换为.DEX文件后,我们使用JADX工具将.DEX文件转换为.JAR文件。然后我们可以使用IntelliJ / Android Studio或任何可用的Java反编译器等工具反编译.JAR文件。

Android恶意软件被反编译。在这个屏幕截图中显示的是Bot的命令,获得一些Java代码后,下一步是详细的静态分析。
 
恶意软件的主要架构
恶意软件的主要体系结构分为以下主要类别:
数据库访问
存储在SQLite中的数据。命令也存储在这个数据库中,并且主要通过这个层来处理。

SQLlite数据库由恶意软件创建以存储命令,短信列表和模板
电话相关
设置默认电话软件包,实用功能(获取设备ID,SIM卡序列号,行号等)

设置默认的电话包
服务响应处理程序
响应回复并可能向命令和控制(C&C)服务器发起新请求。一些响应处理程序是:GetTemplateHandlerPostCallListHandlerPostContactListHandlerServerCommandHandler – 主要通过写入数据库来控制恶意软件RegisterDeviceHandlerSendSmsListResponseHandlerGetSmsListResponseHandler
相关的网络连接
该层将设备注册为bot,确保连接在线,发布通话列表,短信列表等等,其回复将由Service ResponseHandlers处理
服务
处理被拦截的意图。其中一些服务处理恶意软件的生命周期并确保恶意软件始终运行。这些服务的一些例子是:WatchDogService:设置定时器以确保恶意软件定期运行。ControlService:注册设备机器人,并启动ReadCommandThread:等待C&C服务器的指示确保设备已连接到C&C服务器BootReceiver:确保所有功能在计算机重新启动时运行。该启动接收器确保看门狗服务每10秒或30秒运行一次,具体取决于操作系统

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载