安全動(dòng)態(tài)

Google Play惡意軟件指向SideWinder組織

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2020-01-08    瀏覽次數(shù):
 

信息來(lái)源:FreeBuf

在Google Play商店中發(fā)現(xiàn)了三款?lèi)阂鈶?yīng)用,惡意應(yīng)用會(huì)攻擊目標(biāo)設(shè)備并收集用戶(hù)信息,其中一個(gè)名為CAMMO,利用漏洞編號(hào)為CVE-2019-2215。這是在野第一個(gè)已知的使用use-after-free漏洞的主動(dòng)攻擊。經(jīng)過(guò)進(jìn)一步調(diào)查發(fā)現(xiàn)這三款應(yīng)用可能是SideWinder組織武庫(kù)的一部分。

這三個(gè)惡意應(yīng)用被偽裝成攝影和文件管理工具。根據(jù)其中一款應(yīng)用的證書(shū)信息推測(cè)這些應(yīng)用自2019年3月起就一直處于活躍狀態(tài)。目前這些應(yīng)用程序已經(jīng)從Google Play中刪除。

安裝

SideWinder分兩個(gè)階段安裝payload。它首先從C&C服務(wù)器下載DEX文件(Android文件格式)。該組使用應(yīng)用程序轉(zhuǎn)換來(lái)配置C&C服務(wù)器地址。地址由Base64編碼,然后在惡意軟件分發(fā)的URL中設(shè)置為referer參數(shù)。

下載的DEX文件將下載一個(gè)APK文件并安裝。所有這些都是在隱蔽情況下完成的。為了逃避檢測(cè),它使用如模糊處理、數(shù)據(jù)加密和調(diào)用動(dòng)態(tài)代碼等技術(shù)。

應(yīng)用程序Camero和FileCrypt manager從C&C服務(wù)器下載額外的DEX文件后,第二層的dropper調(diào)用額外的代碼來(lái)下載、安裝和啟動(dòng)設(shè)備上的callCam應(yīng)用程序。

在用戶(hù)不知情的情況下在設(shè)備上部署負(fù)載應(yīng)用callCam,SideWinder將執(zhí)行以下操作:

一、設(shè)備root

由Camero應(yīng)用完成,僅適用于谷歌(Pixel 2,Pixel 2 XL)、諾基亞3(TA-1032)、LG V20(LG-H990)、Oppo F9(CPH1881)和Redmi 6A設(shè)備。惡意軟件根據(jù)dropper下載的索引從C&C服務(wù)器檢索特定的攻擊。


在調(diào)查期間從C&C服務(wù)器下載了5個(gè)漏洞。攻擊者使用漏洞CVE-2019-2215和MediaTek SU獲取根權(quán)限。

獲取根權(quán)限后,惡意軟件將安裝應(yīng)用程序callCam,授權(quán)并啟動(dòng)。

二、使用輔助功能權(quán)限

FileCrypt Manager使用該方法,其適用于Android 1.6以上的大多數(shù)Android手機(jī)。應(yīng)用程序啟動(dòng)后,會(huì)要求用戶(hù)啟用輔助功能。

一旦獲得許可,應(yīng)用程序?qū)@示一個(gè)全屏窗口,顯示需要進(jìn)一步的安裝步驟。但實(shí)際上這只是一個(gè)覆蓋屏幕,顯示在設(shè)備上所有活動(dòng)窗口的頂部。

同時(shí),應(yīng)用程序從額外的DEX文件調(diào)用代碼,安裝未知應(yīng)用程序和callCam。它授予安裝程序訪問(wèn)權(quán)限并啟動(dòng)程序。所有這些都發(fā)生在覆蓋屏幕后面,用戶(hù)不知情。

callCam活動(dòng)分析

app安裝啟動(dòng)后會(huì)隱藏圖標(biāo),收集一下用戶(hù)信息并發(fā)送回c&c服務(wù)器:

位置信息、電池狀態(tài)、文件、已安裝app列表、設(shè)備信息、傳感器信息、攝像頭信息、屏幕就截屏、賬戶(hù)、wifi信息以及各類(lèi)社交軟件和瀏覽器數(shù)據(jù)。

應(yīng)用程序使用RSA和AES加密算法對(duì)所有回傳數(shù)據(jù)進(jìn)行加密。它使用SHA256驗(yàn)證數(shù)據(jù)完整性并自定義編碼接口。加密時(shí),它會(huì)創(chuàng)建一個(gè)headData的數(shù)據(jù)塊。此塊包含原始數(shù)據(jù)的前9個(gè)字節(jié)、原始數(shù)據(jù)長(zhǎng)度、隨機(jī)AES IV、RSA加密AES加密密鑰和AES加密原始數(shù)據(jù)的SHA256值。然后通過(guò)自定義接口對(duì)頭數(shù)據(jù)進(jìn)行編碼。編碼后存儲(chǔ)在最終加密文件的頭部,然后是AES加密原始數(shù)據(jù)的數(shù)據(jù)。

SideWinder關(guān)聯(lián)分析

這些應(yīng)用使用的C&C服務(wù)器被懷疑是SideWinder設(shè)施的一部分。在一臺(tái)C&C服務(wù)器上還找到一個(gè)URL鏈接到應(yīng)用程序的Google Play頁(yè)面。

 
 

上一篇:加密世界中網(wǎng)絡(luò)安全的重要性

下一篇:5G現(xiàn)安全漏洞 大部分可被修復(fù)