新型安卓木马SpyNote生成器遭泄露

by admin on 2020年4月9日

Palo Alto
Networks的安全专家发现一款新的Android木马,取名为SpyDealer,它能够窃取多达40款应用的数据,包括相当一部分微信、QQ、新浪微博、易信、飞信等用户群为中国人的应用,因此针对的主要是中国用户。病毒进入手机后会对手机进行root,root的成功率达25%,但即便无法成功root,它也可以通过其他手段收集数据。

安全公司 Palo Alto Networks
的研究人员报告了一种主要在中国流行针对中国用户的恶意 Android
木马 SpyDealer,该恶意程序设计窃取
40 余款流行应用的数据。

“Palo Alto
Networks的研究人员找到一款高级的Android恶意软件,我们把它命名为SpyDealer,它能够提取超过40款应用下的隐私信息,通过Android辅助功能窃取通讯软件中的隐私信息。SpyDealer会使用一款商业root软件获取root权限,通过它来进行随后的数据窃取。”Palo
Alto
Networks的分析称。

研究人员已经通知了 Google ,但该恶意程序并非通过 Google Play
商店传播。研究人员称,有证据显示 SpyDealer
能通过被入侵的无线网络感染中国 Android 用户。一旦感染,它会利用商业 root
工具 Baidu Easy Root 获取设备的 root 权限,滥用 Android Accessibility
Service 功能从应用窃取敏感信息,大量收集用户信息,包括
IMEI、IMSI、SMS、MMS、联系人、账号、呼叫历史、位置、连接的 Wi-Fi
信息。

近日,Palo Alto Networks 威胁情报团队Unit42
宣布发现一类新型安卓木马SpyNote,该木马可执行远程入侵功能,其生成器近日在多个恶意软件论坛上遭泄露。
SpyNoted与知名的RAT (Remote Administration Tools, RAT) 程序OmniRat 和
DroidJack相类似,令恶意软件所有者能够对Android设备实施远程管理控制。

多重手段窃取隐私

这个所谓的“商业root软件”就是Baidu Easy
Root。依托这款root软件,SpyDealer木马可以攻击的Android版本从2.2到4.4(涵盖25%的Android设备),可以说适配的范围非常广了。

root的目的有两个,一是驻足手机,二是更方便地窃取信息。

root手机后,恶意软件会注册两个广播接收器,接收设备启动以及网络连接状态变化的事件。

第一次运行时,恶意软件会从本地一个叫readme.txt的文件中获取配置信息,配置信息包括C&C
IP地址信息、移动数据网络下做什么,Wi-Fi网络下做什么等。这份文件可以远程更新。

攻击者可以通过UDP,
TCP和短信三种渠道作为C&C远程控制感染的Android设备,支持的命令超过50种。

注册了优先级比默认短信更高的广播接收器,SpyDealer就能监听用户收到的短信。

图片 1

短信指令

另外,感染设备后,SpyDealer会在39568端口创建TCP服务器,用来通过UDP或TCP向远程服务器请求指令。

图片 2

TCP指令

SpyDealer木马能够从目标设备收集大量信息,包括手机号、IMEI、IMSI、短信、彩信、联系人、设备账号、拨号记录、位置、连接到的Wi-Fi。还可以通过指定号码接听电话,或者进行通话录音、环境录音录像、拍照、监控位置以及截屏等。

除此之外,SpyDealer在root后会读取应用的数据文件,从而收集资料,被监控的应用包括微信、Facebook、WhatsApp、Skype、Line、Viber、QQ、Tango、Telegram、新浪微博、腾讯微博、Android本地浏览器、Firefox浏览器、欧朋浏览器,
QQ邮箱、网易邮箱、139邮箱、189邮箱、淘宝、百度网盘、手机
YY、易信、飞信、人人、阿里旺信、快滴打车等。从这个列表我们也可以看出这款木马针对中国用户。

有一些应用会将数据加密放入数据库文件,针对这种情况,SpyDealer会使用Android的辅助功能,从屏幕上提取文字。在root后的设备上,黑客可以直接开启这项功能,而即便病毒无法root设备,还是可以提示用户进行开启,从而进一步窃取私密数据。

图片 3

辅助功能配置文件

它还能自动响应特定号码,通过 UDP、TCP 和 SMS
渠道远程控制设备,能用麦克风和摄像头记录附近视频和音频,能拍照和屏幕截图。它能从
40
多款流行应用中提取个人信息,这些应用包括微信、Facebook、WhatsApp、Skype、Line、Viber、QQ、Tango、Telegram、新浪微博、腾讯微博、Android
Native Browser、Firefox Browser, Oupeng Brower、QQ
Mail、网易邮箱、淘宝、百度网盘、BBM、手机 YY、易信、飞信、人人,等等。

与其他RAT一样,SpyNote有如下主要特征,

病毒依然活跃

目前还不知道SpyDealer是通过什么方式传播的,但研究人员肯定并非通过Google
Play
Store传播的,对中国用户来说这并不是一个好消息,因为这样的话黑客应该使用了针对中国用户的传播方式,并且相比Google
Play Store更不可控。

更可怕的是研究人员称,这款木马至今依然非常活跃,病毒作者仍然在持续开发改进。研究人员在1046个样本中发现的SpyDealer有三个版本,其中第一个版本可以追溯到2015年10月,而最后一个版本创建于2017年5月,也就是说SpyDealer已经存活长达18个月。

“截至2017年6月,我们已经捕捉到1046个SpyDealer样本。经过分析我们发现SpyDealer目前仍然在活跃更新。我们发现了三个版本:1.9.1,
1.9.2和1.9.3。自1.9.3开始,配置文件的内容和几乎所有常量字符串都经过了加密或者编码。”分析文章中称,“自1.9.3版本开始还引入了辅助功能窃取目标应用的信息。根据我们的数据,大部分的木马的应用名称都是GoogleService或者GoogleUpdate,最近的样本创建于2017年5月,而最久的可以追溯到2015年10月,也就是说SpyDealer已经存活长达18个月。”

研究人员已经向Google Play Protect提交了相关信息,不过Google Play
Protect的防护机制对中国用户也没有什么卵用。

*参考来源:SecurityWeek,本文作者:Sphinx,转载请注明来自FreeBuf.COM

SpyDealer 的最早版本现身于 2015
年,目前仍然在活跃更新,最新版本是在五月释出的。

Ÿ 无需Root访问权限

来自:Solidot奇客

Ÿ 安装新的APK 并更新恶意软件

Ÿ 将设备上的文件复制到电脑上

Ÿ 浏览设备上全部信息

Ÿ 监听设备来电

Ÿ 获取设备上的联系人列表

Ÿ 借助设备麦克风监听或者录制音频

Ÿ 控制设备摄像头

Ÿ 获取IMEI串号、Wi-Fi MAC地址以及手机运营商信息

Ÿ 获取设备最后一个GPS定位信息

Ÿ 拨打电话

SpyNote
安装包要求受害者接受并准许SpyNote执行诸多操作,包括:编辑文本信息、读取通话记录和联系方式、修改或删除SD卡内容,已有证据显示SpyNote将内容上传至恶意软件分析网站
VirusTotal和Koodous。

分析

安装成功后,SpyNote便将该应用的图标从受害者设备上抹去,这充分表明SpyNote的生成器应用是用.NET开发的。

该应用未做掩饰处理,也不受任何掩饰工具或保护工具的保护。

图片 4

图二,反编译SpyNote生成器

鉴于使用的端口编号与视频中(视频地址为

此外,经过配置,该RAT可通过TCP端口2222进行C&C远程命令与控制(IP地址为141.255.147.193)的通信,如下图,

图片 5

图三,借助Cerbero profiler实现Dalvik字节码视图

图片 6

图四,SpyNote开启套接字链接

基于我们已掌握的信息,现在我们已经了解到该恶意软件使用硬编码SERVER_IP
和 SERVER_PORT values
(如图四所示)来实现套接字链接。我们现在可以借助Androguard
()
来设计一款C2信息提取程序,如下图所示,spynote.C2.py脚本将这些数值从APK文件中解析出来,并将其应用于命令行中,如图五所示。

图片 7

图五,提取出的命令与控制服务器信息

结论

安装第三方应用将会危险重重,这些资源缺少如Google Play
Store这样官方来源的监管,而且,即使有详尽的步骤和算法来去除那些恶意应用程序,这些应用也并非无懈可击。旁加载来自于有问题来源的应用,会把使用者以及他们使用的移动设备曝露于各类恶意软件和数据丢失危险之中。

到现在为止,我们还没有看到有主动攻击使用了SpyNote,但我们担心网络罪犯会因为SpyNote的轻松易得而开始作恶。现在,Palo
Alto Networks AutoFocus的用户可使用SpyNote tag 来对该木马进行甄别。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图