“Xavier”安卓木马分析:可静默收集数据并远程代码执行

by admin on 2020年4月11日

稿源:cnBeta.COM

Xavier技术分析

Xavier的变体出现在2016年9月,它的代码更加精简。第一个版本重去除了APK安装和root校验,但是加入了TEA加密算法。

 

图片 1

 

很快它添加了避免动态检测的机制,其结构如下:

图片 2

 

一旦加载Xavier,它将从C&C服务器hxxps://api-restlet[.]com/services/v5/得到初始化配置,并使其加密。

图片 3

 

服务器还对响应数据进行加密:

 

图片 4

 

解密后,我们可以看到它实际上是一个json文件:

图片 5

V代表SDK版本

L代表SDK URL地址

G代表SDK Sid

S代表 SDK设置

Au与ad配置相关

 

Xavier将从hxxp://cloud[.]api-restlet[.]com/modules/lib[.]zip下载SDK并读取配置。但是,lib.zip不是一个完整的压缩包。

在得到lib.zip压缩包之后,Xavier在压缩包里加入0x50
0x4B头,并把它命名为xavier.zip的有效文件。

 

加入之前

图片 6

 

加入之后

图片 7

 

Xavier.zip包含加载和调用它的classes.dex文件。

 

图片 8

 

这个dex文件将收集用户的的设备信息,并加密传输到远程服务器hxxps://api-restlet[.]com/services/v5/rD

如邮箱地址,设备ID,模型,操作系统版本,国家,手机制造商,SIM卡运营商,安装的应用程序等信息。

 

图片 9

 

为了躲避动态检测,Xavier运行在模拟器环境下还会隐藏恶意行为。

它会检测设备是否包含产品名称、制造商、设备商标、设备模块、硬件名称、指纹等以下字符串。

 

  • vbox86p
  • Genymotion
  • generic/google_sdk/generic
  • generic_x86/sdk_x86/generic_x86
  • com.google.market
  • Droid4X
  • generic_x86
  • ttVM_Hdragon
  • generic/sdk/generic
  • google_sdk
  • generic
  • vbox86
  • ttVM_x86
  • MIT
  • Andy
  • window
  • unknown
  • goldfish
  • sdk_x86
  • generic_x86_64
  • phone
  • TTVM
  • sdk_google
  • Android SDK built for x86
  • sdk
  • Android SDK built for x86_64
  • direct
  • com.google
  • XavierMobile
  • TiantianVM
  • android_id
  • generic/vbox86p/vbox86p
  • com.google.vending
  • nox

 

 

Xavier还通过检查它是否包含以下字符串,来隐藏扫描用户邮箱的行为:

 

  • pltest
  • @facebook.com
  • tester
  • @google.com
  • review
  • playlead
  • agotschin
  • gptest
  • rxwave 15
  • rxplay
  • admob
  • gplay
  • adsense
  • gtwave
  • rxtest
  • wear.review
  • qaplay
  • test
  • rxtester
  • playtestwave

 

图片 10

 

 然而并没有结束,互联网的世界,你或许只看到了冰山一角。

图片 11

图片 12

 目前免费提供扫描测试,地址:https://jaq.alibaba.com/safety

而该恶意程序另一个狡诈的地方在于它们会嵌入到应用的代码中。在应用使用过程中并不会出现明显的恶意代码,因此在提交至
Play Store 审核的时候并不会触发任何 flag
。然而,一旦从隐蔽的下载和安装恶意代码,那么就会自动执行。而这些操作都是在用户不知情的情况下在后台进行操作的。

对比此前恶意广告木马,Xavier的功能及特征更为复杂。首先他具备远程下载恶意代码并执行的能力。其次,它通过使用诸如字符串加密,Internet数据加密和模拟器检测等方法来保护自己不被检测到。

 

Xavier
窃取用户数据的行为很难被发现,它有一套自我保护机制,来躲避静态和动态的检测分析。此外,Xavier
还具有下载和执行其他恶意代码的能力,使它的威胁性大大增加。

 

 

首先,这款恶意程序会嵌入到常规的应用中,例如铃声录制和图片编辑应用,受感染的用户绝大多数来自亚洲东南部国家,如越南、菲律宾和印度尼西亚,美国和欧洲的感染人数较少。趋势科技发现携带有该恶意程序的应用数量已经超过800款,而且部分应用在
Google Play 上的下载量已经超过数百万次。

 

 

分析人员表示:“如果设备已经被 root
,那么该恶意程序就会静默安装其他类型的 APK
文件。”对比此前恶意广告木马,Xavier
的功能及特征更为复杂。首先他具备远程下载恶意代码并执行的能力。其次,它通过使用诸如字符串加密,Internet
数据加密和模拟器检测等方法来保护自己不被检测到。

 

SonicSpy间谍软件可以执行大量恶意任务,让它成为一个完美的移动qie听器。 

图片 13

 

 ……

保护措施

1、提防可疑和陌生的应用软件,即便是从官方应用市场下载的。尽量下载知名的应用软件。

2、在下载应用程序之前,查看应用程序需要授权的权限,并了解其他用户的评论。

3、建议在手机上安装安全软件,可以有效检测并阻止恶意软件,及时升级系统和app的版本。

 

*
本文翻译自trendmicro,更多安全类热点资讯及知识分享,请持续关注阿里聚安全博客

 

或和伊拉克开发者有关

Xavier如何避免检测?

1、对所有常量字符串进行加密,使得静态检测和动态分析更加困难

 

图片 14

 

2、它通过HTTPS进行网络传输,以防止流量被捕获,还对数据进行加密:

 

图片 15

 

3、它使用了大量反射调用方法,其中类名和方法名都进行了加密

 

图片 16

 

4、它会根据运行环境隐藏其行为。下面是谷歌播放器的示例,嵌入了一个Xavier恶意广告库:

 

图片 17

 

 

 图片 18

趋势科技研究发现了一款Android恶意木马——Xavier。在谷歌Play应用市场中,超过800款Android应用感染了该恶意木马,影响数百万Android用户。感染的应用范围覆盖图片编辑器,墙纸和铃声转换器等。受感染的用户绝大多数来自亚洲东南部国家,如越南、菲律宾和印度尼西亚,美国和欧洲的感染人数较少。

 具体功能如下: 

Xavie进化史

图片 19

 

joymobile

Xavier是恶意广告下载家族的成员之一,它的存在已有2年时间。第一个版本被称为joymobile,出现在2015年年初。joymobile这个版本已经具备执行远程代码的能力。

 

图片 20

除了收集和泄露用户信息,它还可以安装其他应用,并在设备root的情况下实现静默安装。

图片 21

 

它通过远程命令和C&C服务器来发送和接受信息,并对这些信息没有加密,但是对所有的常量字符串都进行了加密。

 

图片 22

 

nativemob

第二个版本命名为nativemob,对比joymobile我们可以发现nativemob的代码重构了,并增加了一些新特新。主要是广告行为和实用程序。虽然没有静默安装,但是需要用户确认安装的程序仍然存在。

图片 23

图片 24

 

它比第一个版本收集更多的用户信息,并通过base64编码发送这些信息到C&C服务器。

 

图片 25

 

nativemob的下一个变种出现在2016年1月左右,它缩减了字符串加密算法,加密了从远程服务器下载的代码,并添加了一些反射调用。

 

图片 26

 

紧接着在2月份,它更新了各方面的广告模块设置,并出于某种原因删除了数据加密。

 

图片 27

 

在接下来的几个月里进行了进一步更新。但是这些更新对于广告库没有进行重大更改。

 

 4月同时,约有2百万Android用户在谷歌Play应用商店里感染了FalseGuide
恶意软件,它隐藏在超过40多个流行的游戏app中,例如Pokémon Go、FIFA
Mobile。

Xavier窃取用户数据的行为很难被发现,它有一套自我保护机制,来躲避静态和动态的检测分析。此外,Xavier还具有下载和执行其他恶意代码的能力,使它的威胁性大大增加。

 

 

 一旦安装,Soniac
立即删除启动图标来隐藏自己,并试图通过C&C服务器下载修改后的app。SonicSpy
恶意软件家族共支持73种不同的远程指令,攻击者可以在受到SonicSpy
感染的Android设备上远程执行恶意任务。

APP扫描检测能力是非常重要的一环。

 就在前日,阿里聚安全小编发表的一批伪装成flashlight、vides和game的BankBot恶意软件,又出现在谷歌Play
官方应用商店中。

 —————————-

 今年4月,BankBot
银行木马出现在谷歌Play应用商店中,该木马可以让攻击者获得管理员权限,并执行大量恶意任务,包括窃取银行登录信息。

1、静默录音 
2、静默拨打电话 
3、劫持相机和拍照功能 
4、窃取用户数据,包括通讯记录、联系人信息 

 

首先上传至谷歌Play 应用市场,伪装成名为Soniac
的通信工具。(如何绕过谷歌play的杀毒引擎的技术分析,可以参考阿里聚安全的这篇文章:)

 有许多迹象表明,2款应用来源于同一个开发者。例如家族代码的相似性,经常使用动态DNS服务,并运行非标准的222接口。另外最重要的证据是因为它的开发者账号,两者都包含Soniac
。并且上传在谷歌应用市场的账号是”iraqiwebservice”。

 

如果你认为在官方应用市场里下载app就觉得安全的话,小编可以负责任的回答你:“too
young too simple,sometimes native”

研究者认为该恶意软件和一家伊拉克的企业有关。因为SonicSpy 的代码和
SpyNote非常相似,而SpyNote 是一款伪装成Netflix
的恶意app,它是由一名伊拉克黑客创造,在2016年7月份被发现。

 

执行一大堆的恶意任务

 SonicSpy是如何工作的

 图片 28

 作为个人用户而言,最简单的办法就是确保下载的应用来自官网或官方应用市场,虽然不能完全避免中招,但是可以最大程度的降低感染几率。最后建议下载一个手机安全防护软件,例如钱盾app,可以有效检测和阻止这些恶意软件,并保持设备系统和app版本的更新。

尽管SonicSpy感染的app已经从应用市场里移除,但研究员警告称,该恶意软件家族已经证明他们有能力在官方应用市场里植入恶意软件。他们可以利用不同的开发者账号,上传恶意软件并隐藏在不同的app中。虽然谷歌已经采取了很多安全措施,以防止恶意应用通过谷歌的安全检查,但仍有漏网之鱼。

对于自己研发APP的企业而言,也不要放松警惕,黑客可能会在你的原生APP中,植入恶意代码,成功仿冒并分发到各个渠道,这同样会对企业造成很大的损失。

SonicSpy 可能会再次来袭

该恶意软件是由移动安全公司Lookout的研究员发现,并在谷歌Play
应用市场发现了其他2个变种——Hulk Messenger、Troy
Chat。数据显示它们已经被用户下载超过上千次。虽然Soniac、Hulk
Messenger、Troy
Chat均已被被谷歌应用市场下架移除,但是它们依旧活跃在其他第三方Android应用市场。

 

 近日安全研究者发现在第三方应用市场和谷歌Play应用商店 存在上千款恶意伪装软件。它们可以监视用户行为,比如对用户拨打电话,静默录音等。该恶意软件名为SonicSpy,它伪装成一个即时通信app,并从今年2月份开始,在各大应用市场里疯狂蔓延传播,连谷歌Play都不幸中招。

内容部分编译自thehackernews,更多安全类热点信息和知识分享,请关注阿里聚安全的官方博客

5、发送指定内容的短信
6、通过WIFI接入点,追踪用户地址 
……

如何保护和预防?

 上月,一款名为Xavier恶意软件,它被发现在800个不同的Android
app中,这些程序在谷歌Play中下载了数百万次,并且悄无声息的收集用户数据。

 阿里聚安全提供的恶意代码扫描能力不仅可以对已发布的巨大存量应用,通过调用移动安全恶意代码扫描的API接口进行定期全量扫描。还能对申请发布的APP,在上线前对其进行恶意代码扫描,防止恶意应用蒙混过关。

对于自身为应用市场的企业而言,如何避免恶意应用通过自己的渠道进行分发传播是一个严峻的考验。它不仅对用户造成损失,还进而影响分发渠道的声誉,因此建立完善并强大的

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图