信息來源:4hou
最近暗影安全實(shí)驗(yàn)室在日常監(jiān)測中發(fā)現(xiàn)了一款新的木馬病毒Ginp��,雖然他和前兩周發(fā)布的反間諜之旅004報(bào)告中描述的“Flash Player”木馬病毒名稱很相似都帶有“Flash Player”,但是他們卻屬于不同病毒家族��。
該惡意軟件的最初版本可以追溯到2019年6月初�,它偽裝成“Google Play Verificator”應(yīng)用程序���。當(dāng)時(shí)���,Ginp是一個(gè)簡單的短信竊取器,其目的只是將用戶手機(jī)接收和發(fā)出的短信副本發(fā)送到C2服務(wù)器��。
在2019年8月,一個(gè)新版本發(fā)布了���,增加了銀行木馬特有的功能���。這個(gè)惡意軟件被偽裝成假冒的“Adobe Flash Player”應(yīng)用程序,惡意軟件代碼增強(qiáng)了反混淆能力��。Ginp較前兩周發(fā)布的“Flash Player”木馬病毒相比除了具有木馬病毒慣用的遠(yuǎn)控獲取用戶聯(lián)系人列表��、短信列表等隱私信息的特性外���,還通過注冊易訪問性服務(wù)監(jiān)控用戶設(shè)備,自動授權(quán)應(yīng)用敏感權(quán)限��,加載網(wǎng)頁覆蓋特定應(yīng)用程序頁面�,目的是竊取登錄憑證信息。
1. 樣本信息
MD5:1EA4002F712DE0D9685D3618BA2D0A13
程序名稱:Adobe Flash Player
程序包名:solution.rail.forward
安裝圖標(biāo):
2. 詳細(xì)分析
惡意軟件第一次在設(shè)備上啟動時(shí)�����,它會隱藏圖標(biāo)并要求受害者提供無障礙服務(wù)特權(quán)�。
一旦用戶授予請求的可訪問性服務(wù)特權(quán),Ginp首先自動授予自己額外的權(quán)限�����,以便能夠執(zhí)行某些敏感的高權(quán)限操作,而不需要受害者的任何進(jìn)一步操作���。完成后���,惡意程序就可以正常工作了,可以接收命令并執(zhí)行覆蓋攻擊�����。
檢測配置信息�����,并將信息發(fā)送至服務(wù)器��。以方便控制端根據(jù)配置信息來判斷可以在受害者機(jī)器上執(zhí)行哪些操作�。
圖 2-1 獲取應(yīng)用配置信息
監(jiān)控服務(wù)器響應(yīng)狀態(tài),獲取C2服務(wù)器下發(fā)的指令�,竊取用戶聯(lián)系人列表、短信列表等信息�。發(fā)送指定短信內(nèi)容到指定聯(lián)系人,目的是傳播惡意軟件�����。
圖2-2 獲取C2服務(wù)器指令
指令列表:
表2-1 指令列表
通過可訪問性服務(wù)AccessibilityService,監(jiān)控用戶設(shè)備操作事件�。
圖2-3 監(jiān)控用戶設(shè)備
執(zhí)行以下操作 :
(1)更新應(yīng)用列表,自動下載安裝軟件:從服務(wù)器獲取需要下載的應(yīng)用鏈接���、下載應(yīng)用并打開安裝界面�����,當(dāng)監(jiān)測到系統(tǒng)彈出安裝界面時(shí)�,遍歷節(jié)點(diǎn)���,通過perforAcmtion執(zhí)行點(diǎn)擊同意授權(quán)。
圖2-4 請求安裝界面
(2)自動授予高敏感權(quán)限:申請接收發(fā)送讀取短信權(quán)限�����,當(dāng)監(jiān)測到系統(tǒng)彈框請求權(quán)限時(shí)��,遍歷節(jié)點(diǎn)�,通過perforAcmtion執(zhí)行點(diǎn)擊同意授權(quán)。
圖2-5 自動授權(quán)�����、安裝軟件
(3)自我保護(hù),防止被刪除:當(dāng)監(jiān)測到用戶打開的界面包含“force”強(qiáng)制停止���、“app info”應(yīng)用列表時(shí)��,程序退出到HOME界面�����,所以用戶無法通過查看應(yīng)用列表卸載該軟件���。
圖2-6 打開HOME界面
(4)覆蓋攻擊:監(jiān)測用戶打開的應(yīng)用,從服務(wù)器獲取網(wǎng)頁覆蓋目標(biāo)應(yīng)用�����,該服務(wù)器模擬真實(shí)的應(yīng)用程序頁面進(jìn)行覆蓋��,以竊取用戶登錄憑證��。
圖2-7 覆蓋目標(biāo)應(yīng)用
下面的截圖顯示了在覆蓋攻擊時(shí)收集了什么類型的信息
2-8 覆蓋攻擊網(wǎng)頁
設(shè)置惡意軟件為默認(rèn)短信應(yīng)用程序�。監(jiān)控用戶短信收發(fā)情況。
圖2-9 監(jiān)聽用戶短信
3. 服務(wù)器地址
表3-1 服務(wù)器地址
4. 同源樣本
監(jiān)測中發(fā)現(xiàn)的服務(wù)器地址相同的樣本。雖然該木馬病毒暫時(shí)的目標(biāo)是一些社交軟件��,但是它可能正在更新另一個(gè)新版本的惡意軟件將目標(biāo)轉(zhuǎn)向于銀行�����,用于竊取用戶更加敏感的信息��,如:銀行卡信息���、信用卡信息�,以獲取利益���。
表4-1 同源樣本
5. 安全建議
· 由于惡意軟件對自身進(jìn)行了保護(hù)�,用戶通過正常方式無法卸載�。可采取以下方式卸載�����。
(1)將手機(jī)連接電腦���,在控制端輸入命令:adb shell pm uninstall 包名。
(2)進(jìn)入手機(jī)/data/data目錄或/data/app目錄,卸載文件名帶有該應(yīng)用包名的文件夾��,應(yīng)用將無法運(yùn)用�。
(3)安裝好殺毒軟件,能有效識別已知病毒���。
· 很多攻擊者會通過短信傳播惡意軟件���,所以用戶不要輕易點(diǎn)擊帶有鏈接的短信。
· 堅(jiān)持去正規(guī)應(yīng)用商店或官網(wǎng)下載軟件��,謹(jǐn)慎從論壇或其它不正規(guī)的網(wǎng)站下載軟件���。
