新型银行木马病毒MysteryBot Android深度分析

近日,国外某安然公司发明一种新型银行木马病毒MySteryBot Android,该病毒为银行木马LokiBotAndroid的变种, 其恶意行径除了使用银行木马偷取金融信息外,还包括恶意监视键盘、植入打单软件进行打单操作。经阐发发明该木马病毒已适配Android7.0和Android 8.0,一旦被恶意传播,Android7.0和Android 8.0的所有设备均有被感染的可能。鉴于此,通付盾移动安然实验室对MySteryBot Android病毒进行了深入阐发,以下为具体阐发内容。

一、样本信息

法度榜样名称 :MysteryBot

MD5: 9eeeaa4f33ed24b33cd40a21637734bc9b4caeb2

病毒名称:install.apps

利用图标:

恶意行径描述:该法度榜样中包孕恶意代码,经由过程冒充成android flash,引诱用户下载,从而前进装机量。安装后恶意获取设备治理员权限,用户无法正常卸载,在后台持续运行;私自将用户联系人、短信等隐私信息上传到远程办事端;监听用户键盘,履行打单操作,具有私自发送短信、拨打电话等恶意扣费行径。

范例样本信息如下:

SHA256

法度榜样名

包名

62a09c4994f11ffd61b7be99dd0ff1c64097c4ca5806c5eca73c57cb3a1bc36a

Adobe Flash Player

install.apps

334f1efd0b347d54a418d1724d51f8451b7d0bebbd05f648383d05c00726a7ae

Adobe Flash Player

install.apps

0963bc9fbb6747e9475c94bb0387b7f4e444ff557dcd0fc81822dce7fab4c3e9

Adobe Flash Player

dddddddd.ssssss.hhhhhh.ggggggggg

该木马病毒首先在AndroidManifest.xml文件中病毒申请了一系列与恶意行径亲昵相关的权限:

此外还注册了各类receiver用来监听系统消息:

深入阐发完成开拓的Boot、SmsBroadcast、Scrynlock,此中Boot主要用来在屏幕未唤醒的环境下继承运行,假如CommandService没有启动,则启动CommandService之后屏幕变亮;SmsBroadcast中,当有android.provider.Telephony.SMS_RECEIVED意图时刻,终极按照{ “action”: “log”, “params”: {“imei”: “%s”,”type”:”sms”,”text”: “%s: %s”}}的款式将Android设备ID、短信滥觞、短信内容款式化, 并base64编码,着末组成http://89.42.211.24/site/gate.php?i=base64字符串 这样的款式,连接远程办事器,同时唤醒屏幕;Scrynlock实现了一个Admin的设备治理,同时会用webview加载这个 http://89.42.211.24/site/inj/test/?p=imei,并向/storage/sdcard0/sslocks.txt文件中写入+1,其次该病毒还对Home健监听和经由过程对手势进行判断履行触屏按键监听,该组件今朝处于正在开拓阶段,暂未事情。

此中SmsBroadcast的关键代码如下:

三、恶意行径阐发

该木马的核心类是CommandService.class、install.apps.c.class、install.apps.Cripts$mainActivity、install.apps.g.class,经由过程对这四个核心类阐发后,得到该木马的核心恶意行径。该木马的整体恶意流程如下图所示:

Step1 : 成为Admin的设备治理者和完成自我暗藏

Step2:后台运行的CommandService,上传数据和设置Boot.class用来监督CommandService是否成功运行,没有则再次启动。

设置准时器为5s,然后重复履行这些恶意代码

判断/mnt/sdcard/是否存在sslocks.txt

判断/mnt/sdcard/是否存在dblocks.txt

Step3:install.apps.Cripts$mainActivity,主如果打单部分,暂时还没有明确的打单付费要领。

将联系人和文件压缩在zip包中,并没有将其加密。

[1] [2]下一页

其次是上传隐私信息到办事器

打单的HTML页面信息

按键手势和Home键监听广播

Step4:install.app.g主要用来上传用户隐私信息与远控端通信

与远控端通信,远控端发出action指令后,该木马进行履行,主如果上传用户联系人、发短信、打电话、上传键盘日志等隐私信息。

四、 影响范围

通信的IP地址可以看出来,该木马面向的银行主如果中东和欧洲银行。今朝海内相关机构,暂未发明该木马的行踪,我们会持续追踪其动态。木马运行如下:

阐发总结

该木马建立起了一套完备的远程节制体系,涵盖了各类远程节制恶意行径,包括对各类设备硬件信息采集、短信监控,以及键盘监听等等,极大年夜程度上侵犯了用户的小我隐私信息安然,具有异常强的迫害性。

通付盾移动安然实验室已实现对该类病毒的检测查杀,同时相关移动利用检测类产品也已具备对该类恶意利用的检出能力。

通付盾移动安然实验室今朝已实现对该类病毒的检测查杀,同时相关移动利用检测类产品也已具备对该类恶意利用的检出能力。

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包