信息來源:4hou
最近暗影安全實驗室在日常監(jiān)測中發(fā)現(xiàn)了一款新的木馬病毒Ginp,雖然他和前兩周發(fā)布的反間諜之旅004報告中描述的“Flash Player”木馬病毒名稱很相似都帶有“Flash Player”,但是他們卻屬于不同病毒家族。
該惡意軟件的最初版本可以追溯到2019年6月初,它偽裝成“Google Play Verificator”應(yīng)用程序。當(dāng)時,Ginp是一個簡單的短信竊取器,其目的只是將用戶手機(jī)接收和發(fā)出的短信副本發(fā)送到C2服務(wù)器。
在2019年8月,一個新版本發(fā)布了,增加了銀行木馬特有的功能。這個惡意軟件被偽裝成假冒的“Adobe Flash Player”應(yīng)用程序,惡意軟件代碼增強(qiáng)了反混淆能力。Ginp較前兩周發(fā)布的“Flash Player”木馬病毒相比除了具有木馬病毒慣用的遠(yuǎn)控獲取用戶聯(lián)系人列表、短信列表等隱私信息的特性外,還通過注冊易訪問性服務(wù)監(jiān)控用戶設(shè)備,自動授權(quán)應(yīng)用敏感權(quán)限,加載網(wǎng)頁覆蓋特定應(yīng)用程序頁面,目的是竊取登錄憑證信息。
1. 樣本信息
MD5:1EA4002F712DE0D9685D3618BA2D0A13
程序名稱:Adobe Flash Player
程序包名:solution.rail.forward
安裝圖標(biāo):
2. 詳細(xì)分析
惡意軟件第一次在設(shè)備上啟動時,它會隱藏圖標(biāo)并要求受害者提供無障礙服務(wù)特權(quán)。
一旦用戶授予請求的可訪問性服務(wù)特權(quán),Ginp首先自動授予自己額外的權(quán)限,以便能夠執(zhí)行某些敏感的高權(quán)限操作,而不需要受害者的任何進(jìn)一步操作。完成后,惡意程序就可以正常工作了,可以接收命令并執(zhí)行覆蓋攻擊。
檢測配置信息,并將信息發(fā)送至服務(wù)器。以方便控制端根據(jù)配置信息來判斷可以在受害者機(jī)器上執(zhí)行哪些操作。
圖 2-1 獲取應(yīng)用配置信息
監(jiān)控服務(wù)器響應(yīng)狀態(tài),獲取C2服務(wù)器下發(fā)的指令,竊取用戶聯(lián)系人列表、短信列表等信息。發(fā)送指定短信內(nèi)容到指定聯(lián)系人,目的是傳播惡意軟件。
圖2-2 獲取C2服務(wù)器指令
指令列表:
表2-1 指令列表
通過可訪問性服務(wù)AccessibilityService,監(jiān)控用戶設(shè)備操作事件。
圖2-3 監(jiān)控用戶設(shè)備
執(zhí)行以下操作 :
(1)更新應(yīng)用列表,自動下載安裝軟件:從服務(wù)器獲取需要下載的應(yīng)用鏈接、下載應(yīng)用并打開安裝界面,當(dāng)監(jiān)測到系統(tǒng)彈出安裝界面時,遍歷節(jié)點,通過perforAcmtion執(zhí)行點擊同意授權(quán)。
圖2-4 請求安裝界面
(2)自動授予高敏感權(quán)限:申請接收發(fā)送讀取短信權(quán)限,當(dāng)監(jiān)測到系統(tǒng)彈框請求權(quán)限時,遍歷節(jié)點,通過perforAcmtion執(zhí)行點擊同意授權(quán)。
圖2-5 自動授權(quán)、安裝軟件
(3)自我保護(hù),防止被刪除:當(dāng)監(jiān)測到用戶打開的界面包含“force”強(qiáng)制停止、“app info”應(yīng)用列表時,程序退出到HOME界面,所以用戶無法通過查看應(yīng)用列表卸載該軟件。
圖2-6 打開HOME界面
(4)覆蓋攻擊:監(jiān)測用戶打開的應(yīng)用,從服務(wù)器獲取網(wǎng)頁覆蓋目標(biāo)應(yīng)用,該服務(wù)器模擬真實的應(yīng)用程序頁面進(jìn)行覆蓋,以竊取用戶登錄憑證。
圖2-7 覆蓋目標(biāo)應(yīng)用
下面的截圖顯示了在覆蓋攻擊時收集了什么類型的信息
2-8 覆蓋攻擊網(wǎng)頁
設(shè)置惡意軟件為默認(rèn)短信應(yīng)用程序。監(jiān)控用戶短信收發(fā)情況。
圖2-9 監(jiān)聽用戶短信
3. 服務(wù)器地址
表3-1 服務(wù)器地址
4. 同源樣本
監(jiān)測中發(fā)現(xiàn)的服務(wù)器地址相同的樣本。雖然該木馬病毒暫時的目標(biāo)是一些社交軟件,但是它可能正在更新另一個新版本的惡意軟件將目標(biāo)轉(zhuǎn)向于銀行,用于竊取用戶更加敏感的信息,如:銀行卡信息、信用卡信息,以獲取利益。
表4-1 同源樣本
5. 安全建議
· 由于惡意軟件對自身進(jìn)行了保護(hù),用戶通過正常方式無法卸載。可采取以下方式卸載。
(1)將手機(jī)連接電腦,在控制端輸入命令:adb shell pm uninstall 包名。
(2)進(jìn)入手機(jī)/data/data目錄或/data/app目錄,卸載文件名帶有該應(yīng)用包名的文件夾,應(yīng)用將無法運(yùn)用。
(3)安裝好殺毒軟件,能有效識別已知病毒。
· 很多攻擊者會通過短信傳播惡意軟件,所以用戶不要輕易點擊帶有鏈接的短信。
· 堅持去正規(guī)應(yīng)用商店或官網(wǎng)下載軟件,謹(jǐn)慎從論壇或其它不正規(guī)的網(wǎng)站下載軟件。