一個針對中國用戶的安卓木馬

責(zé)任編輯:editor005

作者:UncleCui

2015-08-27 14:18:45

摘自: FreeBuf

近日,Doctor Web安全小組發(fā)現(xiàn)了一個新的Android木馬,被命名為Android Backdoor 260 origin。攻擊者可以利用該木馬劫持受害者的短信、通話記錄、定位GPS坐標(biāo)、屏幕截圖,甚至還可以搜集所有用戶輸入的數(shù)據(jù)。

近日,Doctor Web安全小組發(fā)現(xiàn)了一個新的Android木馬,被命名為Android.Backdoor.260.origin。該木馬在中國用戶之間傳播,監(jiān)視著受害者的信息。攻擊者可以利用該木馬劫持受害者的短信、通話記錄、定位GPS坐標(biāo)、屏幕截圖,甚至還可以搜集所有用戶輸入的數(shù)據(jù)。

一個針對中國用戶的安卓木馬

由于Android.Backdoor.260.origin會以"AndroidUpdate"名字散播,所以受害者很有可能在他們的移動設(shè)備上安裝它。

一個針對中國用戶的安卓木馬

  木馬詳情分析

Android.Backdoor.260.origin有一個相當(dāng)復(fù)雜的模塊化結(jié)構(gòu),其最主要的惡意功能被嵌入進(jìn)了惡意程序的安裝包中。首次啟動時,該木馬會提取以下組件:

super

detect

liblocSDK4b.so

libnativeLoad.so

libPowerDetect.cy.so

1.dat

libstay2.so

libsleep4.so

substrate_signed.apk

cInstall

接下來它會嘗試用root權(quán)限運(yùn)行二進(jìn)制cInstall文件(Dr.Web發(fā)現(xiàn)并命名為Android.BackDoor.41)。如果成功運(yùn)行,惡意模塊就會將之前提取到的文件植入系統(tǒng)文件夾中,然后偷偷的安裝“Substrate”工具。該工具具有擴(kuò)展應(yīng)用程序的功能,但已被Android.Backdoor.260.origin利用于劫持用戶輸入的數(shù)據(jù)了。如果該木馬不能獲得root訪問權(quán)限,那么上述一系列惡意操作將不會出現(xiàn)。

如果所有的模塊都已安裝完成,Android.Backdoor.260.origin木馬便會刪除之前創(chuàng)建的快捷方式,然后啟動PowerDetectService惡意服務(wù)。該服務(wù)會以libnativeLoad.so和Substrate名義運(yùn)行惡意模塊。事實上,這個工具并不是惡意軟件,很容易能從Google Play下載到。但是攻擊者修改了原版的應(yīng)用,然后把修改后的版本放到Android.Backdoor.260.origin中。因此,這個工具對于手機(jī)用戶來說就有潛在的危險性。

libnativeLoad.so組件會運(yùn)行“detect”文件(Android.BackDoor.45),它會啟動1.dat模塊(Android.BackDoor.44),這個模塊會激活libsleep4.so庫(Android.BackDoor.46)和libstay2.so庫(Android.BackDoor.43),前者會不斷地對手機(jī)截屏,并對用戶輸入的數(shù)據(jù)進(jìn)行截聽,后者的功能則是竊取通訊錄,監(jiān)控手機(jī)短信和QQ信息。

1.dat組件可以通過C&C服務(wù)器接受大量命令,如下:

1.DOW-從服務(wù)器上下載文件

2.UPL-上傳文件到服務(wù)器

3.PLI、PDL、SDA-更新惡意模塊和設(shè)置

4.DIR-獲得特定文件夾中的文件列表

5.DTK-將特定文件夾中的內(nèi)容寫到一個文件中

6.OSC、STK-在文件夾中搜索制定文件

7.OSF-中止搜索指定的文件

8.DEL-刪除指定的文件

9.SCP-截圖

10.BGS-激活麥克風(fēng)并開始錄音

11.GPRS-定位GPS坐標(biāo)

需要注意的是,有些指令是1.dat模塊自己執(zhí)行的,而另一些是在其他一些惡意庫的幫助下執(zhí)行的,這些庫使用以下的這些雙字節(jié)指令通過UNIX sockets互相通信:

0x2633-開始使用內(nèi)置麥克風(fēng)記錄,

0x2634-停止錄音,

0x2635-更新錄音配置文件,

0x2629-復(fù)制聯(lián)系人列表,

0x2630-復(fù)制聯(lián)系人列表,

0x2631-復(fù)制短信,

0x2632-復(fù)制通話記錄,

0x2628-發(fā)送設(shè)備位置信息到服務(wù)器

0x2532-發(fā)送當(dāng)前運(yùn)行的應(yīng)用程序信息到服務(wù)器

0x2678-上傳用戶輸入的數(shù)據(jù)到服務(wù)器

安全建議

安全專家建議用戶一定要從可信任的來源處獲得應(yīng)用程序安裝包,未知來源的應(yīng)用程序一定不要安裝。另外,最好要安裝一個受信任、有效的殺毒軟件。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號