欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

剖析Geost:针对俄罗斯银行的安卓木马

来源:本站整理 作者:佚名 时间:2020-03-18 TAG: 我要投稿

Android银行木马Geost是由Stratosphere实验室的Sebastian García、Maria Jose Erquiaga和Anna Shirokova首次发现。最早,他们通过监视HtBot恶意代理网络来检测到该木马。该僵尸网络以俄罗斯银行为目标,在去年发布关于该僵尸网络的研究时,受害者人数已经超过80万。
我们的研究成果揭示了Geost(Trend Micro检测为AndroidOS_Fobus.AXM)从受害者那里窃取的信息类型,并分析了僵尸网络背后恶意组织的活动,包括其运营策略以及威胁参与者与僵尸网络编码人员之间的内部通信。
基于这一有趣的发现,我们决定对恶意软件样本进行逆向工程,以更加深入地了解Geost的行为。该木马使用了混淆、加密、反射和注入非功能代码段的多种方式,使得逆向工程更加困难。为了研究代码并分析其使用的算法,我们必须首先编写Python脚本来解密字符串。
初步分析
攻击者将Geost隐藏在恶意应用程序中,并通过随机生成服务器主机名的非官方网站实现分发。如果受害者在寻找Google Play上不可用的应用程序,或者受害者无法访问应用商店时,往往就会直接到网上去搜索特定的应用。随后,受害者可能会在一些不知名的Web服务器上找到该应用程序的链接,下载应用程序并在手机上运行。随后,应用程序将向用户请求授予权限,如果受害者允许授权,则会感染恶意软件。
我们所分析的Geost样本位于一个名为“установка”(俄语)的恶意应用程序中,其名称翻译过来是“设置”。该应用程序使用了Google Play的图标,并且该图标在运行后不会出现在手机屏幕上。
恶意应用程序“установка”使用的图标:

启动应用程序时,该恶意应用请求授予设备的管理员特权。这类特权的请求是非常少见的,因为合法的应用程序通常不会要求如此之高的权限,它基本上为应用程序提供了对设备的完整权限。
用户可能在不知不觉中同意的重要权限包括“访问短信息”,这样一来,恶意应用就可以获取来自银行应用程序的确认信息。而根据这些消息,恶意软件可以收集受害者的姓名、余额和其他银行账户相关的详细信息。只需要单击几下,攻击者就可以在不知情的情况下从受害者的银行账户中转走资金。
请求设备管理员权限的截图:

请求的应用程序权限:

在确认获取到必要的权限之后,应用程序将不再可见,并且应用程序的图标将会消失,从而让受害者误认为该应用程序已经被删除。在我们分析样本所使用的设备上,起初没有显示出任何恶意活动迹象,但该恶意软件持续在后台运行,攻击者已经获得了对设备的访问权限,从而使他们可以监视已发送和已接收的消息,包括来自银行应用程序的短信确认消息。
为了保证重启设备后仍然具有持久性,恶意软件注册了BOOT_COMPLETED和QUICKBOOT_POWERON广播。
注册服务启动广播(部分代码经过混淆):

第一阶段
Geost的运行时生命周期被分为多个阶段。其中,第一阶段较为精简,随后将下载、解密并运行第二阶段,而第二阶段则更为复杂。
在Geost样本的APK中,classes.dex文件包含已编译的Java代码。APK中还包括AndroidManifest.xml和资源文件,它们是APK文件中的常规内容。除上述之外,还有一个大小为125K的“.cache”文件。
为了对提取的classes.dex文件进行反编译,我们使用了几个Java反编译器,包括dex2jar、jadx、jd-core/jd-gui和Ghidra,因为没有一个单独的反编译器能够反编译所有Smali代码。
反编译的Java源代码:

乍一看,反编译的代码似乎部分编码为一系列字符串,但根据字符使用的频率进行分析,我们发现这些字符是随机使用的。
进一步的分析表明,该恶意软件包含其他代码段,除了用于减慢其执行速度意外,这些代码段对应用程序的行为没有任何影响。由于恶意软件将有用的代码分割为多个部分,并频繁更改执行路径,因此使得我们的逆向工程更加困难。执行过程中会走到哪个分支,通常要取决于具有未知值的某个变量,而“switch”、“if”和“try/catch”命令块也同样如此。通过对有实际意义代码的功能进行分析,我们可以更为全面地了解恶意软件的行为。
带有case条件的代码段:

我们不断删除非功能代码段,从而确定了恶意软件使用的第一个解密算法。第一阶段中的所有字符串都使用RC4进行加密,并使用了一个算法,该算法被拆分为多个函数,以避免被人发现其使用了RC4算法。在得到这一信息之后,下一步就是要找到用于RC4解密的密钥。
反编译的Java源代码,作为RC4算法中的一部分:

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载