自2006年9月以來,我們就一直在監(jiān)控Google Play商店有關(guān)Ztorg木馬的各種新變異版本 ,到目前為止,我們已經(jīng)發(fā)現(xiàn)了幾十個(gè)新的Ztorg木馬的變異程序。所有這些都是惡意程序無一例外都是利用漏洞在受感染的設(shè)備上獲得root權(quán)限。
不過,在2017年5月下旬以來,在我們捕獲的Ztorg木馬的變異程序中,卻發(fā)現(xiàn)它們都沒有使用設(shè)備的root權(quán)限。通過對(duì)Google Play上的兩個(gè)惡意應(yīng)用程序進(jìn)行研究發(fā)現(xiàn),它們與Ztorg木馬相關(guān),雖然不是獲得受感染設(shè)備的root權(quán)限的惡意軟件,但是卻屬于木馬短信,它可以發(fā)送具有優(yōu)惠話費(fèi)的木馬短信并在安裝后迅速將其的安裝博刪除,截止目前為止這兩個(gè)應(yīng)用程序已經(jīng)從Google Play上分別被下載了5萬和1萬次。
卡巴斯基實(shí)驗(yàn)室的專家們將兩個(gè)木馬應(yīng)用程序檢測(cè)為SMS.AndroidOS.Ztorg.a木馬,并向Google報(bào)告了惡意軟件,目前這兩個(gè)應(yīng)用都已從Google Play商店中刪除了。
2017年5月15日,被稱為“魔術(shù)瀏覽器(Magic browser)”的惡意應(yīng)用程序就已上傳到Google Play了,安裝次數(shù)超過5萬次。
第二個(gè)應(yīng)用程序被稱為“噪聲檢測(cè)器(Noise Detector)”,具有相同的惡意功能,安裝次數(shù)超過10000次。
 攻擊過程
惡意程序啟動(dòng)后,木馬將等待10分鐘,然后連接到其命令和控制(C&C)服務(wù)器。該木馬使用了一個(gè)有趣的技術(shù)從C&C獲取命令,它向C&C提供兩個(gè)GET請(qǐng)求,并且都包括國際移動(dòng)用戶身份(IMSI)的一部分。第一個(gè)請(qǐng)求將如下所示:
GET c.phaishey.com/ft/x250_c.txt(其中250 - IMSI的前三位數(shù)字)
如果木馬收到一些數(shù)據(jù)作為響應(yīng),將會(huì)發(fā)出第二個(gè)請(qǐng)求。第二個(gè)請(qǐng)求將如下所示:
GET c.phaishey.com/ft/x25001_0.txt(其中25001 - IMSI的前五位數(shù)字)
為什么木馬需要這些來自IMSI的數(shù)字?
IMSI的有趣之處在于前三位數(shù)字是MCC(移動(dòng)國家代碼),第三位和第四位是MNC(移動(dòng)網(wǎng)絡(luò)代碼)。使用這些數(shù)字,攻擊者可以識(shí)別受感染用戶的國家和移動(dòng)運(yùn)營商,他們需要這樣做才能確定選擇應(yīng)該發(fā)送哪類優(yōu)惠話費(fèi)的欺騙短信。
在對(duì)這些請(qǐng)求進(jìn)行響應(yīng)時(shí),木馬可能會(huì)收到一些加密的JSON文件,其中包含一些數(shù)據(jù)。此數(shù)據(jù)應(yīng)包括優(yōu)惠列表,每個(gè)優(yōu)惠均包含一個(gè)名為“url”的字符串字段,可能包含也可能不包含實(shí)際的網(wǎng)址。木馬將嘗試使用自己的類打開或查看該字段。如果這個(gè)值確實(shí)是一個(gè)真實(shí)的url,那么木馬會(huì)向用戶顯示其內(nèi)容。但是如果它是假的url,就會(huì)帶有一個(gè)短信字樣的子串,要求用戶回復(fù)一個(gè)短信,其中就包含提供的號(hào)碼,下圖就是決定是否應(yīng)發(fā)送含有惡意代碼短信的木馬。
 通常很少有短信是以這種方式發(fā)送的,只要收到網(wǎng)址訪問或短信發(fā)送后,木馬將關(guān)閉設(shè)備聲音,并開始刪除用戶收到的所有短信。
雖然我們無法通過Google Play傳播的木馬獲得任何命令,但是通過對(duì)其他具有相同功能的木馬程序的分析,我們得到了以下命令:
{“icon”:”http://down.rbksbtmk.com/pic/four-dault-06.jpg”,”id”:”-1″,”name”:”Brower”,”result”:1,”status”:1,”url”:”http://global.621.co/trace?offer_id=111049&aff_id=100414&type=1″}
這是一個(gè)定期的廣告報(bào)價(jià)。
WAP計(jì)費(fèi)訂閱
我們能夠在Google Play商店及其他正規(guī)的應(yīng)用商店發(fā)現(xiàn)相同功能的許多惡意應(yīng)用。有趣的是,它們看起來不像獨(dú)立木馬,更像是一些木馬程序的附加模塊。
進(jìn)一步的調(diào)查顯示,這些木馬事由一個(gè)常規(guī)的Ztorg木馬和其他Ztorg模塊一起組合的。
在其中一些木馬中,我們發(fā)現(xiàn)它們使用MCC從惡意網(wǎng)址下載了一個(gè)JS文件。
于是,為了分析,我們下載了幾個(gè)JS文件,它們使用了不同的MCC,可以推斷這些攻擊者是來自不同國家的用戶。由于無法獲取美國MCC的文件,所以只能嘗試從其他國家獲取的MCC文件中找到一些功能相似的文件。我們發(fā)現(xiàn),所有的文件都包含一個(gè)名為“getAocPage”的函數(shù),它最有可能引用AoC 即收費(fèi)建議。在分析這些文件后,我發(fā)現(xiàn)他們的主要目的是通過WAP計(jì)費(fèi)對(duì)網(wǎng)頁進(jìn)行點(diǎn)擊攻擊。在進(jìn)行攻擊時(shí),木馬可以從用戶的移動(dòng)帳戶竊取資金。 WAP帳單的攻擊方式與話費(fèi)優(yōu)惠詐騙短信類似,區(qū)別就是它采用了訂閱付款的形式,而不是一次性詐騙,下圖就是,來自俄羅斯用戶的CnC的JS文件(MCC = 250)
這意味著該木馬從CnC收到的網(wǎng)址不僅可以是廣告網(wǎng)址,還可以是WAP帳單訂閱的網(wǎng)址。此外,一些具有此功能的木馬程序使用包含“/ subscribe / api /”的CnC URL,這些引用也可能使用訂閱類的攻擊功能。
所有這些木馬,包括來自Google Play的木馬,都在嘗試從任何設(shè)備向用戶發(fā)送短信。為此,攻擊者正在使用很多方法來發(fā)送短信,以下就是部分“魔術(shù)瀏覽器”應(yīng)用程序的代碼。
總而言之,從“魔術(shù)瀏覽器”應(yīng)用程序的代碼中我們可以發(fā)現(xiàn),它試圖從11個(gè)不同的地方向受害者發(fā)送短信。通過這種方法,攻擊者就能夠從不同的Android版本和設(shè)備發(fā)送短信。此外,我們還找到另一個(gè)變異過的SMS.AndroidOS.Ztorg木馬的惡意程序,試圖通過“am”命令發(fā)送短信,雖然這種方法最終并沒有行得通。
與Ztorg惡意軟件家族的關(guān)系
“魔術(shù)瀏覽器”惡意應(yīng)用程序的升級(jí)方式與Ztorg木馬程序類似,“魔術(shù)瀏覽器”和“噪聲檢測(cè)器”應(yīng)用程序與其他Ztorg木馬共享了許多具有相似之處的代碼。此外,最新版本的“噪聲檢測(cè)器”應(yīng)用程序在安裝包的資產(chǎn)文件夾中包含加密文件“girl.png”。解密后,此文件就會(huì)變?yōu)閆torg木馬。我們發(fā)現(xiàn)了幾個(gè)與常規(guī)Ztorg木馬一起安裝的其他Ztorg模塊功能相同的木馬程序,而不是像“魔術(shù)瀏覽器”將附加的Ztorg模塊作為獨(dú)立木馬從Google Play傳播的情況。 2017年4月,我們發(fā)現(xiàn)一個(gè)名為“Money Converter”的惡意應(yīng)用從Google Play安裝了10000次以上,它使用輔助功能服務(wù)從Google Play安裝應(yīng)用程序。因此,即使在無法獲得root權(quán)限的更新設(shè)備上,木馬程序也可以默默地安裝、運(yùn)行并升級(jí)惡意應(yīng)用程序,而無需與用戶進(jìn)行任何交互。
獲取root權(quán)限攻擊的木馬是如何演變成通過短信進(jìn)行攻擊的木馬
“噪音偵測(cè)器”和“魔術(shù)瀏覽器”的惡意應(yīng)用程序功能雖然相同,但我們認(rèn)為它們各有不同的用途。 “魔術(shù)瀏覽器”上傳的時(shí)間較早,我們認(rèn)為攻擊者是在通過它來檢測(cè)他們是否能夠成功上傳這種惡意功能。因?yàn)樗麄兩蟼鲪阂鈶?yīng)用程序后,并沒有對(duì)初級(jí)版本進(jìn)行過更新,它看起來像攻擊者試圖上傳受Ztorg木馬常規(guī)版本感染的應(yīng)用程序。但是在上傳過程中,他們臨時(shí)決定在發(fā)布root權(quán)限功能的惡意軟件時(shí)添加一些用來賺錢的惡意功能。而“噪聲檢測(cè)器”的更新則證明了這一點(diǎn)。
5月20日,他們上傳了一個(gè)名為“噪聲檢測(cè)器”的簡(jiǎn)潔版應(yīng)用程序。幾天后,他們用另一個(gè)更簡(jiǎn)潔的版本來更新它。
然后,幾天之后,他們往Google Play上傳了一個(gè)更新版本,其中包含一個(gè)加密的Ztorg木馬程序,但我們無法對(duì)其進(jìn)行解密并執(zhí)行它。上傳后的第二天,他們終于用具有SMS功能的木馬更新了之前的惡意應(yīng)用程序,但仍然沒有增加執(zhí)行加密的Ztorg模塊的可能性。很可能,如果該應(yīng)用尚未從Google Play中刪除,則他們將在下一階段添加此功能,不過還有另一種可能,即嘗試添加此功能時(shí)被Google發(fā)現(xiàn)了木馬的存在,并導(dǎo)致其被刪除。
總結(jié)
在Google Play中,我們發(fā)現(xiàn)了一個(gè)非常不尋常的通過SMS傳播木馬的惡意程序。它不僅使用了大約十幾種方法來發(fā)送短信,而且還以非同尋常的方式初始化這些方法,通過使用CnC中的命令處理網(wǎng)頁加載錯(cuò)誤。它可以打開廣告網(wǎng)址,此外,它與具有相同功能的Ztorg惡意軟件相關(guān),通常由Ztorg作為附加模塊安裝。
通過分析這些應(yīng)用程序,我們發(fā)現(xiàn)攻擊者正在從事點(diǎn)擊攻擊來劫持WAP計(jì)費(fèi)。這意味著這些木馬不僅可以打開廣告網(wǎng)址,還可以發(fā)送含有優(yōu)惠話費(fèi)的木馬短信以及打開網(wǎng)頁,并通過用戶帳號(hào)竊取資金。而為了隱藏這些活動(dòng),木馬會(huì)關(guān)閉設(shè)備聲音并刪除所有接受的短信。攻擊者首次通過Google Play傳播Ztorg模塊,例如,在2017年4月,他們上傳了一個(gè)模塊,可以點(diǎn)擊Google Play商店應(yīng)用按鈕安裝甚至購買這些推廣應(yīng)用。
根據(jù)推測(cè),攻擊者是在嘗試上傳常規(guī)含有root攻擊權(quán)限的Ztorg木馬時(shí)為了增加收入而臨時(shí)有了短信詐騙攻擊的想法。
MD5
F1EC3B4AD740B422EC33246C51E4782F
E448EF7470D1155B19D3CAC2E013CA0F
55366B684CE62AB7954C74269868CD91
A44A9811DB4F7D39CAC0765A5E1621AC
1142C1D53E4FBCEFC5CCD7A6F5DC7177
| 
