1.样本信息
MD5:3C42C391BEC405BB28B28195C2961778
包名:com.android.market
应用名:Update.Android
安装图标:
2.样本描述
该样本仿冒成系统更新应用,对用户进行诱骗及信息窃取。主要行为开机自启动,伪造系统通知,诱导用户**设备管理器,当中途取消**时锁定屏幕,禁用屏幕锁定的方式强迫使用户**。运行后隐藏图标加以**了设备管理器,使被攻击者难以卸载。样本还具有免杀功能,遍历正在应用列表,当发现Kaspersky Mobile Security或Avast或DR.web杀毒软件时,杀掉软件进程以免被杀,打开google play应用时,界面劫持为输入银行卡号界面,诱骗用户输入个人信息。同时与控制端进行交互,根据c2下发的指令,对设备进行操作,包括发送短信记录,电话记录等,具有隐私窃取及远程控制等恶意行为。
3.样本详细分析
行为分析
开机自启动
开启多个服务
Schedule服务注册定时任务,NetworkController来控制与c2服务器交互问题,通过interval来设置间隔时间.
隐藏应用图标
伪造的系统Notification
关闭系统自带的锁屏服务,启用自己的锁屏服务,达到禁用屏幕锁定的目的。
设置屏幕等配置数据。
诱导用户**设备管理器
如果没**就禁用home键,**了就退出当前界面
重写onDisableRequested,当点击取消**时,阻止用户取消**,达到防卸载的目的。
获取已安装的应用列表及正在运行应用列表,遍历列表当包含杀毒软件Kaspersky Mobile Security或Avast或DR.web 时,就杀掉该进程。
禁止拨打号码
禁止向外拨打8005555550,4955005550;
号码归属地:俄罗斯Sberbank且为免费电话
也禁止接听此号码
界面劫持
当打开google应用时,劫持界面诱骗用户输入信用卡号
伪造输入银行卡号的界面
C&C交互
通过NetworkController与服务器交互
获取用户imei,电话等设备信息发送至服务器
与服务器进行请求交互“http://quick-sshopping.com/p/gate.php”,现在该服务器已失效
获取服务器json格式的远控指令,对现有设备信息攻击操作
获取浏览器历史记录
获取短信记录
获取通话记录
C&C返回控制端指令
| 指令 | 返回控制端释义 |
|---|---|
| 401 | 发送设备信息至c2,验证应用存活性 |
| call_log | 获取通话记录发送至c2 |
| sms_history | 获取短信发送至c2 |
| browser_history | 获取浏览器记录发送至c2 |
| url | 访问url |
| server | 更换c2服务器 |
| intercept | 文件拦截加密 |
| server_poll | 更新从服务器获取命令的时间间隔 |