多个针对安卓平台的恶意软件分析

2024年 3月 21日 86.9k 0

介绍

针对移动设备的恶意软件是我们经常遇到的。2023 年我们的技术阻止了移动设备上的 3380 万次恶意软件、广告软件和危险软件攻击。2023 年最引起共鸣的攻击之一是针对 iOS 的三角测量行动,但这是一个相当独特的案例。在移动平台中,Android 仍然是网络犯罪分子最流行的目标操作系统。上个月,我们总共撰写了四份有关 Android 恶意软件的私人犯罪软件报告,其中三份总结如下。

Tambir

Tambir 是一个针对土耳其用户的 Android 后门。它会将自己伪装成 IPTV 应用程序,但不会表现出任何此类功能。相反,它是一个成熟的间谍软件应用程序,可以收集短信、击键等。

启动后,应用程序会显示一个屏幕,要求用户使用土耳其语启用辅助功能服务。一旦获得所有权限,应用程序就会从公共来源(例如 Telegram、ICQ 或 Twitter/X)获取 C2 地址。接下来,应用程序将其图标更改为 YouTube 的图标。

聊天邀请中的加密 C2 地址

Tambir 支持可从 C2 检索的 30 多个命令。其中包括启动和停止键盘记录器、运行攻击者指定的应用程序、发送短信、拨打号码等。

我们发现 Tambir 和GodFather 恶意软件之间存在某些相似之处。它们都针对土耳其用户,并且都支持 Telegram 来检索 C2 服务器地址。然而,Tambir 具有更丰富的功能集。

Dwphon

2023 年 11 月,我们偶然发现了一个针对多家中国 OEM 制造商的手机的 Android 恶意软件变体。他们的产品主要销往俄罗斯市场。早些时候,一家以色列制造商在一款儿童智能手表的固件中发现了同样的恶意软件,主要分布在欧洲和中东地区。

俄罗斯在线零售商销售的受感染设备

Dwphon 作为系统更新应用程序的一个组件,具有预装 Android 恶意软件的许多特征。例如,它收集设备和个人信息,以及有关设备上安装的第三方应用程序的信息。确切的感染路径尚不清楚,但有一种假设是,由于可能的供应链攻击,受感染的应用程序被合并到固件中。

该恶意软件本身由许多提供一系列功能的模块组成:

主模块。收集系统信息(例如IMSI、系统语言等)并发送给C2。可以接收的命令涉及设备上的安装、下载和删除应用程序、下载文件以及显示弹出窗口等。

DsSdk模块。另一个收集设备信息的模块。模块自带C2,无法接收命令。

ExtEnabler 模块。该模块启动并监视其他应用程序。该模块的部分功能是在应用程序启动时发送广播消息。我们调查的一些样本不包含任何接收器代码。然而,我们确实发现了一个含有它的样本。该样本包含Triada 特洛伊木马,表明 Dwphon 和 Triada 之间存在联系,尽管没有足够的证据支持这一点。

Gigabud

Gigabud 是一种 Android RAT(远程访问木马),至少从 2022 年中期开始活跃,并于 2023 年 1 月首次发现。它专注于窃取东南亚个人的银行凭证,最初模仿当地的航空公司应用程序,但后来跨境进入其他地区秘鲁等国家也改变了伪造贷款恶意软件的功能。

Gigabud 是用 Kotlin 编写的,并与 Dexguard 和后来的 Virbox 进行了混淆。它的各种版本模仿了泰国和秘鲁等公司创建的应用程序。启动后,应用程序会显示它模仿的应用程序的登录屏幕,然后将凭据以及设备信息发送到 C2。接下来,它会显示一个虚拟助手,指导受害者申请贷款。

然后,它继续请求启用辅助功能(如果尚未启用)。它需要它来窃取凭据并模仿触摸事件以绕过 2FA。

捕获数据的方案

除了窃取凭证之外,Gigabud 还嵌入了一个屏幕录制模块。主要功能是从受感染的设备窃取凭据。它通过 WebSocket 或 RTMP 将屏幕流式传输到 C2 来实现此目的。

Gigabud 包含各种中文工件。例如,日志消息是中文的,APK签名是中文的,C2服务器位于中国。

结论

2023年,我们检测到超过130万个针对Android平台且以多种方式传播的独特恶意安装包。用户可以通过不从非官方应用程序市场下载应用程序并仔细检查应用程序请求的权限来保护自己。通常,应用程序不嵌入任何利用功能,因此仅依赖于用户授予它们的权限。此外,反恶意软件工具有助于保持 Android 设备清洁。

妥协指标

Gigabud

043020302ea8d134afbd5bd37c05d2a8
0960de9d425b5157720f59c2901d4e3b
0677a090eb28837b1bbf3e6ab1822fdd

Dwphon

042f041108a79ac07d7b3165531faa9a
1796e678498bf9a067c43769f4096488
274b8d86042d94a6ca6823841fec6d2c

Tambir

04807757a54ce0fbc8326ea8b11f8169
06148a2e5828e6844c2a1a74030d22b6
098dac0668497d9707045bc1e10ced93

参考链接: https://securelist.com/crimeware-report-android-malware/112121/

图片来源网络目标可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论