安全動態(tài)

“Adobe Flash Player”木馬驚現(xiàn)新變種

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2019-12-02    瀏覽次數(shù):
 

信息來源:4hou

最近暗影安全實驗室在日常監(jiān)測中發(fā)現(xiàn)了一款新的木馬病毒Ginp,雖然他和前兩周發(fā)布的反間諜之旅004報告中描述的“Flash Player”木馬病毒名稱很相似都帶有“Flash Player”,但是他們卻屬于不同病毒家族。

該惡意軟件的最初版本可以追溯到2019年6月初,它偽裝成“Google Play Verificator”應(yīng)用程序。當(dāng)時,Ginp是一個簡單的短信竊取器,其目的只是將用戶手機(jī)接收和發(fā)出的短信副本發(fā)送到C2服務(wù)器。

在2019年8月,一個新版本發(fā)布了,增加了銀行木馬特有的功能。這個惡意軟件被偽裝成假冒的“Adobe Flash Player”應(yīng)用程序,惡意軟件代碼增強(qiáng)了反混淆能力。Ginp較前兩周發(fā)布的“Flash Player”木馬病毒相比除了具有木馬病毒慣用的遠(yuǎn)控獲取用戶聯(lián)系人列表、短信列表等隱私信息的特性外,還通過注冊易訪問性服務(wù)監(jiān)控用戶設(shè)備,自動授權(quán)應(yīng)用敏感權(quán)限,加載網(wǎng)頁覆蓋特定應(yīng)用程序頁面,目的是竊取登錄憑證信息。

1. 樣本信息

MD5:1EA4002F712DE0D9685D3618BA2D0A13

程序名稱:Adobe Flash Player

程序包名:solution.rail.forward

安裝圖標(biāo):

                   

2. 詳細(xì)分析

惡意軟件第一次在設(shè)備上啟動時,它會隱藏圖標(biāo)并要求受害者提供無障礙服務(wù)特權(quán)。

“Adobe Flash Player”木馬驚現(xiàn)新變種

一旦用戶授予請求的可訪問性服務(wù)特權(quán),Ginp首先自動授予自己額外的權(quán)限,以便能夠執(zhí)行某些敏感的高權(quán)限操作,而不需要受害者的任何進(jìn)一步操作。完成后,惡意程序就可以正常工作了,可以接收命令并執(zhí)行覆蓋攻擊。

檢測配置信息,并將信息發(fā)送至服務(wù)器。以方便控制端根據(jù)配置信息來判斷可以在受害者機(jī)器上執(zhí)行哪些操作。

圖 2-1 獲取應(yīng)用配置信息

監(jiān)控服務(wù)器響應(yīng)狀態(tài),獲取C2服務(wù)器下發(fā)的指令,竊取用戶聯(lián)系人列表、短信列表等信息。發(fā)送指定短信內(nèi)容到指定聯(lián)系人,目的是傳播惡意軟件。

圖2-2 獲取C2服務(wù)器指令

指令列表:

表2-1 指令列表

通過可訪問性服務(wù)AccessibilityService,監(jiān)控用戶設(shè)備操作事件。

圖2-3 監(jiān)控用戶設(shè)備

執(zhí)行以下操作 :

(1)更新應(yīng)用列表,自動下載安裝軟件:從服務(wù)器獲取需要下載的應(yīng)用鏈接、下載應(yīng)用并打開安裝界面,當(dāng)監(jiān)測到系統(tǒng)彈出安裝界面時,遍歷節(jié)點,通過perforAcmtion執(zhí)行點擊同意授權(quán)。

圖2-4 請求安裝界面

(2)自動授予高敏感權(quán)限:申請接收發(fā)送讀取短信權(quán)限,當(dāng)監(jiān)測到系統(tǒng)彈框請求權(quán)限時,遍歷節(jié)點,通過perforAcmtion執(zhí)行點擊同意授權(quán)。

圖2-5 自動授權(quán)、安裝軟件

(3)自我保護(hù),防止被刪除:當(dāng)監(jiān)測到用戶打開的界面包含“force”強(qiáng)制停止、“app info”應(yīng)用列表時,程序退出到HOME界面,所以用戶無法通過查看應(yīng)用列表卸載該軟件。

圖2-6 打開HOME界面

(4)覆蓋攻擊:監(jiān)測用戶打開的應(yīng)用,從服務(wù)器獲取網(wǎng)頁覆蓋目標(biāo)應(yīng)用,該服務(wù)器模擬真實的應(yīng)用程序頁面進(jìn)行覆蓋,以竊取用戶登錄憑證。

圖2-7 覆蓋目標(biāo)應(yīng)用

下面的截圖顯示了在覆蓋攻擊時收集了什么類型的信息

2-8 覆蓋攻擊網(wǎng)頁

設(shè)置惡意軟件為默認(rèn)短信應(yīng)用程序。監(jiān)控用戶短信收發(fā)情況。

圖2-9 監(jiān)聽用戶短信

3. 服務(wù)器地址

表3-1 服務(wù)器地址

4. 同源樣本

監(jiān)測中發(fā)現(xiàn)的服務(wù)器地址相同的樣本。雖然該木馬病毒暫時的目標(biāo)是一些社交軟件,但是它可能正在更新另一個新版本的惡意軟件將目標(biāo)轉(zhuǎn)向于銀行,用于竊取用戶更加敏感的信息,如:銀行卡信息、信用卡信息,以獲取利益。

表4-1 同源樣本

5. 安全建議

· 由于惡意軟件對自身進(jìn)行了保護(hù),用戶通過正常方式無法卸載。可采取以下方式卸載。

(1)將手機(jī)連接電腦,在控制端輸入命令:adb shell pm uninstall 包名。

(2)進(jìn)入手機(jī)/data/data目錄或/data/app目錄,卸載文件名帶有該應(yīng)用包名的文件夾,應(yīng)用將無法運(yùn)用。

(3)安裝好殺毒軟件,能有效識別已知病毒。

· 很多攻擊者會通過短信傳播惡意軟件,所以用戶不要輕易點擊帶有鏈接的短信。

· 堅持去正規(guī)應(yīng)用商店或官網(wǎng)下載軟件,謹(jǐn)慎從論壇或其它不正規(guī)的網(wǎng)站下載軟件。


 
 

上一篇:2019年12月01日 聚銘安全速遞

下一篇:針對企業(yè)新的網(wǎng)絡(luò)攻擊策略 需要先進(jìn)的網(wǎng)絡(luò)防御