欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

McAfee 新发现了一种可以在应用商店中生成虚假用户评论的全新恶意软件——Android/LeifAccess.A

来源:本站整理 作者:佚名 时间:2020-03-06 TAG: 我要投稿

McAfee Mobile Research团队已经确定了一个名为Android/LeifAccess.A的Android恶意软件家族,该家族自2019年5月以来一直处于活动状态。目前,该木马已在全球范围内被本地化,但在美国和巴西的流行率更高。作为有效载荷的一部分,该木马可以滥用OAuth,利用辅助功能(AccessibilityService)在多个第三方应用中以受害者的合法电子邮件的名义自动创建帐户。使用相同的方法,它可以在Google Play商店上创建虚假评论,以操纵应用排名,执行广告欺诈(点击功能),更新自身并执行任意远程代码等功能。
根据最新的调查,许多受到虚假评论影响的目标应用程序还在Google Play上。
目前,这个恶意软件还没有在官方的Android商店中被识别出来,所以研究人员认为该恶意软件的传播方法与社交媒体、游戏平台、恶意广告以及从命令与控制(C&C)服务器直接下载APK文件有关。
使用社会工程方法获得无障碍服务的过程
安装后,Android/LeifAccess.A不会显示任何图标或快捷方式。它会隐藏在后台运行,并可能会通过显示toast通知,模拟如下所示的系统警告,要求受害者激活辅助功能服务来执行大多数恶意活动:

无障碍服务旨在帮助残障用户,或者在无法与设备进行完全交互的情况下为残障用户提供帮助。但是,正如我们在银行木马和其他移动威胁中所观察到的那样,辅助功能也可能被恶意软件开发者滥用而在没有用户交互的情况下执行恶意活动。在最新版本的Android中,Google限制了在Google Play上具有无障碍服务权限的应用程序的数量,并将某些功能移至其他新创建的API,以最大程度地减少滥用行为,但网络罪犯仍在尝试利用它,说服用户激活此关键权限。
如果用户授予了可访问性权限,则该木马可以完全执行其恶意活动;如果未授予它,它将仍然执行部分可能的命令,例如广告欺诈、安装快捷方式并进行自我更新,从而为新的有效载荷打开了大门。
虚假评论是如何生成的?
基于对去混淆化的第二阶段dex文件(fields.css)的静态分析,研究人员认为,Android/LeifAccess可以通过滥用辅助功能在谷歌Play上发布虚假评论:

被混淆的字符串列表,用作视图id访问的完全合格资源名称,以执行滥用访问服务的虚假评论
Android/LeifAccess会尝试下载并安装目标应用程序,因为用户帐户只能撰写之前安装过的应用程序的评论。它将尝试通过Google Play下载,除此之外还有一个从另一个市场商店(APKPure)下载应用程序的实现,以及直接链接。
真实案例分析
研究人员已经在Google Play上找到相关评论,这些评论与从C&C接收到的参数相匹配,并存储在去混淆的SharedPreferences XML文件中。例如,这款名为“超级清洁手机助听器、垃圾清洁剂和CPU冷却器”的应用程序获得了4.5星的平均评分和超过7000条的评论,其中很多都是假的,因为它们使用了从木马的命令参数中复制的词汇。


一些虚假评论包含多个“喜欢”,这些“喜欢”可能与恶意软件执行的其他命令有关,恶意软件能够找到这些文本内容,并给它们一个“喜欢”:

用于对虚假评论进行投票的命令“ rate_words”
命令和参数解密
Android/LeifAccess.A以SharedPreferences XML格式存储Hashtable映射,其中的键是函数名称,值是命令使用的参数。为了避免检测,对真实函数名称(纯文本)和参数进行了混淆,加密,加盐处理或单向哈希(md5或sha-1)。
使用zip.deflater和base64.enconde作为防御规避技术,通过数据压缩将值存储为混淆字符串。使用相同的算法,有些字符串会被混淆多次。
每个键都是使用对字符串的自定义base64生成的字节数组的md5摘要校验和计算得出的,该字符串是通过对示例的“函数名称”和“包名称”进行自定义操作而产生的。该系列有数百种不同的变体,每个变体具有不同的程序包名称,因此恶意软件开发者利用程序包名称字符串中的这种唯一性将其用作对键值进行哈希处理的盐值。
在图5中,xml
MD5是一种单向函数,因此无法解密字符串,但是,根据静态分析,可以重新计算在第二个阶段DEX文件中找到的所有已解码字符串的哈徐,然后将其与哈希表关联。
通过使用rate_p_words和com.services.ibgpe.hflbsqqjrmlfej作为参数调用哈希函数,可以重新计算此特定哈希值。
在相同的哈希表中存储其他参数,如使用相同的加密/混淆技术的自更新服务器URL:

混淆的HashMap
该密钥为F09EA69449BA00AA9A240518E501B745,其嵌入值可解释为:

HashMap作为纯文本
其他命令在附录中的命令表中有详细说明,其中包括快捷方式创建和更新频率。
此外,接收到的命令也可以存储在本地的SQLite数据库中,该数据库记录恶意软件执行的部分操作。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载