信息來源:4hou
最近暗影安全實(shí)驗(yàn)室在日常監(jiān)測(cè)中發(fā)現(xiàn)了一款新的木馬病毒Ginp����,雖然他和前兩周發(fā)布的反間諜之旅004報(bào)告中描述的“Flash Player”木馬病毒名稱很相似都帶有“Flash Player”,但是他們卻屬于不同病毒家族����。
該惡意軟件的最初版本可以追溯到2019年6月初,它偽裝成“Google Play Verificator”應(yīng)用程序����。當(dāng)時(shí),Ginp是一個(gè)簡(jiǎn)單的短信竊取器����,其目的只是將用戶手機(jī)接收和發(fā)出的短信副本發(fā)送到C2服務(wù)器。
在2019年8月����,一個(gè)新版本發(fā)布了,增加了銀行木馬特有的功能����。這個(gè)惡意軟件被偽裝成假冒的“Adobe Flash Player”應(yīng)用程序,惡意軟件代碼增強(qiáng)了反混淆能力����。Ginp較前兩周發(fā)布的“Flash Player”木馬病毒相比除了具有木馬病毒慣用的遠(yuǎn)控獲取用戶聯(lián)系人列表����、短信列表等隱私信息的特性外����,還通過注冊(cè)易訪問性服務(wù)監(jiān)控用戶設(shè)備,自動(dòng)授權(quán)應(yīng)用敏感權(quán)限����,加載網(wǎng)頁(yè)覆蓋特定應(yīng)用程序頁(yè)面,目的是竊取登錄憑證信息����。
1. 樣本信息
MD5:1EA4002F712DE0D9685D3618BA2D0A13
程序名稱:Adobe Flash Player
程序包名:solution.rail.forward
安裝圖標(biāo):
2. 詳細(xì)分析
惡意軟件第一次在設(shè)備上啟動(dòng)時(shí),它會(huì)隱藏圖標(biāo)并要求受害者提供無(wú)障礙服務(wù)特權(quán)����。
一旦用戶授予請(qǐng)求的可訪問性服務(wù)特權(quán),Ginp首先自動(dòng)授予自己額外的權(quán)限����,以便能夠執(zhí)行某些敏感的高權(quán)限操作,而不需要受害者的任何進(jìn)一步操作����。完成后����,惡意程序就可以正常工作了����,可以接收命令并執(zhí)行覆蓋攻擊����。
檢測(cè)配置信息,并將信息發(fā)送至服務(wù)器����。以方便控制端根據(jù)配置信息來判斷可以在受害者機(jī)器上執(zhí)行哪些操作。
圖 2-1 獲取應(yīng)用配置信息
監(jiān)控服務(wù)器響應(yīng)狀態(tài)����,獲取C2服務(wù)器下發(fā)的指令,竊取用戶聯(lián)系人列表����、短信列表等信息。發(fā)送指定短信內(nèi)容到指定聯(lián)系人����,目的是傳播惡意軟件����。
圖2-2 獲取C2服務(wù)器指令
指令列表:
表2-1 指令列表
通過可訪問性服務(wù)AccessibilityService����,監(jiān)控用戶設(shè)備操作事件。
圖2-3 監(jiān)控用戶設(shè)備
執(zhí)行以下操作 :
(1)更新應(yīng)用列表����,自動(dòng)下載安裝軟件:從服務(wù)器獲取需要下載的應(yīng)用鏈接、下載應(yīng)用并打開安裝界面����,當(dāng)監(jiān)測(cè)到系統(tǒng)彈出安裝界面時(shí),遍歷節(jié)點(diǎn)����,通過perforAcmtion執(zhí)行點(diǎn)擊同意授權(quán)。
圖2-4 請(qǐng)求安裝界面
(2)自動(dòng)授予高敏感權(quán)限:申請(qǐng)接收發(fā)送讀取短信權(quán)限����,當(dāng)監(jiān)測(cè)到系統(tǒng)彈框請(qǐng)求權(quán)限時(shí),遍歷節(jié)點(diǎn)����,通過perforAcmtion執(zhí)行點(diǎn)擊同意授權(quán)����。
圖2-5 自動(dòng)授權(quán)����、安裝軟件
(3)自我保護(hù)����,防止被刪除:當(dāng)監(jiān)測(cè)到用戶打開的界面包含“force”強(qiáng)制停止、“app info”應(yīng)用列表時(shí)����,程序退出到HOME界面,所以用戶無(wú)法通過查看應(yīng)用列表卸載該軟件����。
圖2-6 打開HOME界面
(4)覆蓋攻擊:監(jiān)測(cè)用戶打開的應(yīng)用,從服務(wù)器獲取網(wǎng)頁(yè)覆蓋目標(biāo)應(yīng)用����,該服務(wù)器模擬真實(shí)的應(yīng)用程序頁(yè)面進(jìn)行覆蓋,以竊取用戶登錄憑證����。
圖2-7 覆蓋目標(biāo)應(yīng)用
下面的截圖顯示了在覆蓋攻擊時(shí)收集了什么類型的信息
2-8 覆蓋攻擊網(wǎng)頁(yè)
設(shè)置惡意軟件為默認(rèn)短信應(yīng)用程序����。監(jiān)控用戶短信收發(fā)情況����。
圖2-9 監(jiān)聽用戶短信
3. 服務(wù)器地址
表3-1 服務(wù)器地址
4. 同源樣本
監(jiān)測(cè)中發(fā)現(xiàn)的服務(wù)器地址相同的樣本����。雖然該木馬病毒暫時(shí)的目標(biāo)是一些社交軟件,但是它可能正在更新另一個(gè)新版本的惡意軟件將目標(biāo)轉(zhuǎn)向于銀行����,用于竊取用戶更加敏感的信息,如:銀行卡信息����、信用卡信息,以獲取利益����。
表4-1 同源樣本
5. 安全建議
· 由于惡意軟件對(duì)自身進(jìn)行了保護(hù),用戶通過正常方式無(wú)法卸載����?���?刹扇∫韵路绞叫遁d����。
(1)將手機(jī)連接電腦,在控制端輸入命令:adb shell pm uninstall 包名����。
(2)進(jìn)入手機(jī)/data/data目錄或/data/app目錄����,卸載文件名帶有該應(yīng)用包名的文件夾,應(yīng)用將無(wú)法運(yùn)用����。
(3)安裝好殺毒軟件,能有效識(shí)別已知病毒����。
· 很多攻擊者會(huì)通過短信傳播惡意軟件,所以用戶不要輕易點(diǎn)擊帶有鏈接的短信����。
· 堅(jiān)持去正規(guī)應(yīng)用商店或官網(wǎng)下載軟件����,謹(jǐn)慎從論壇或其它不正規(guī)的網(wǎng)站下載軟件����。
