近日,國外某安全公司發現一種新型銀行木馬病毒MySteryBot Android,該病毒為銀行木馬LokiBot Android的變種, 其惡意行為除了利用銀行木馬竊取金融信息外,還包括惡意監視鍵盤、植入勒索軟件進行勒索操作。經分析發現該木馬病毒已適配Android7.0和Android 8.0,一旦被惡意傳播,Android7.0和Android 8.0的所有設備均有被感染的可能。鑒于此,通付盾移動安全實驗室對MySteryBot Android病毒進行了深入分析,以下為詳細分析內容。
一、樣本信息
程序名稱 :MysteryBot
MD5: 9eeeaa4f33ed24b33cd40a21637734bc9b4caeb2
病毒名稱:install.apps
應用圖標:
惡意行為描述:該程序中包含惡意代碼,通過偽裝成android flash,誘導用戶下載,從而提高裝機量。安裝后惡意獲取設備管理員權限,用戶無法正常卸載,在后臺持續運行;私自將用戶聯系人、短信等隱私信息上傳到遠程服務端;監聽用戶鍵盤,執行勒索操作,具有私自發送短信、撥打電話等惡意扣費行為。
典型樣本信息如下:
SHA256
程序名
包名
62a09c4994f11ffd61b7be99dd0ff1c64097c4ca5806c5eca73c57cb3a1bc36a
Adobe Flash Player
install.apps
334f1efd0b347d54a418d1724d51f8451b7d0bebbd05f648383d05c00726a7ae
Adobe Flash Player
install.apps
0963bc9fbb6747e9475c94bb0387b7f4e444ff557dcd0fc81822dce7fab4c3e9
Adobe Flash Player
dddddddd.ssssss.hhhhhh.ggggggggg
該木馬病毒首先在AndroidManifest.xml文件中病毒申請了一系列與惡意行為密切相關的權限:
此外還注冊了各種receiver用來監聽系統消息:
深入分析完成開發的Boot、SmsBroadcast、Scrynlock,其中Boot主要用來在屏幕未喚醒的情況下繼續運行,如果CommandService沒有啟動,則啟動CommandService之后屏幕變亮;SmsBroadcast中,當有android.provider.Telephony.SMS_RECEIVED意圖時候,最終按照{ “action”: “log”, “params”: {“imei”: “%s”,”type”:”sms”,”text”: “%s: %s”}}的格式將Android設備ID、短信來源、短信內容格式化, 并base64編碼,最后組成http://89.42.211.24/site/gate.php?i=base64字符串 這樣的格式,連接遠程服務器,同時喚醒屏幕;Scrynlock實現了一個Admin的設備管理,同時會用webview加載這個 http://89.42.211.24/site/inj/test/?p=imei,并向/storage/sdcard0/sslocks.txt文件中寫入+1,其次該病毒還對Home健監聽和通過對手勢進行判斷執行觸屏按鍵監聽,該組件目前處于正在開發階段,暫未工作。
其中SmsBroadcast的關鍵代碼如下:
三、惡意行為分析
該木馬的核心類是CommandService.class、install.apps.c.class、install.apps.Cripts$mainActivity、install.apps.g.class,通過對這四個核心類分析后,獲得該木馬的核心惡意行為。該木馬的整體惡意流程如下圖所示:
Step1 : 成為Admin的設備管理者和完成自我隱藏
Step2:后臺運行的CommandService,上傳數據和設置Boot.class用來監督CommandService是否成功運行,沒有則再次啟動。
設置定時器為5s,然后重復執行這些惡意代碼
判斷/mnt/sdcard/是否存在sslocks.txt
判斷/mnt/sdcard/是否存在dblocks.txt
Step3:install.apps.Cripts$mainActivity,主要是勒索部分,暫時還沒有明確的勒索付費方式。
將聯系人和文件壓縮在zip包中,并沒有將其加密。
 其次是上傳隱私信息到服務器
勒索的HTML頁面信息
按鍵手勢和Home鍵監聽廣播
Step4:install.app.g主要用來上傳用戶隱私信息與遠控端通信
與遠控端通信,遠控端發出action指令后,該木馬進行執行,主要是上傳用戶聯系人、發短信、打電話、上傳鍵盤日志等隱私信息。
四、 影響范圍
通信的IP地址可以看出來,該木馬面向的銀行主要是中東和歐洲銀行。目前國內相關機構,暫未發現該木馬的行蹤,我們會持續追蹤其動態。木馬運行如下:
分析總結
該木馬建立起了一套完整的遠程控制體系,涵蓋了各種遠程控制惡意行為,包括對各種設備硬件信息采集、短信監控,以及鍵盤監聽等等,極大程度上侵犯了用戶的個人隱私信息安全,具有非常強的危害性。
通付盾移動安全實驗室已實現對該類病毒的檢測查殺,同時相關移動應用檢測類產品也已具備對該類惡意應用的檢出能力。
通付盾移動安全實驗室目前已實現對該類病毒的檢測查殺,同時相關移動應用檢測類產品也已具備對該類惡意應用的檢出能力。
| 
