好友
阅读权限255
听众
最后登录1970-1-1
|
Hmily
发表于 2011-2-18 19:48
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子! 病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途! 禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
Android木马HongTouTou(又名ADRD)分析报告 | 出处:安天实验室 时间:2011年2月18日 | | | 一、 基本信息病毒名称:Trojan/Android.Adrd.a[Clicker]
病毒别名:HongTouTou、ADRD
病毒类型:木马
样本MD5:A84997B0D220E6A63E2943DA64FFA38C
样本CRC32:A42850DE
样本长度:1,316,981 字节
原始文件名:Newfpwap_com_liveprintslivewallpaper.apk
出现时间:2011.01.27
感染系统:Android 2.0及以上
二、 概述 ADRD木马(又名HongTouTou木马)被植入十余款合法软件中(图1),通过多家论坛、下载站点分发下载实现大范围传播。其主要行为包括:开启多项系统服务;每6小时向控制服务器发送被感染手机的IMEI、IMSI、版本等信息;接收控制服务器传回的指令;从数据服务器取回30个URL;依次访问这些URL,得到30个搜索引擎结果链接;在后台逐一访问这些链接;下载一个.apk安装文件到SD卡指定目录。感染该木马的手机将产生大量网络数据流量,从而被收取流量费用。攻击者通过增加搜索链接的访问量而获益。用户可以下载安天提供的Android恶意代码专杀工具AVL PK for Android检测手机是否感染这一木马,并卸载相应软件将其清除。
图1 正常软件与被植入木马的软件 三、 样本特征 截止本分析报告发布,安天已经检测到ADRD木马(又名HongTouTou木马)被植入到下列Android软件: 
- 动态脚印动态壁纸Live Prints Live Wallpaper
- TurboFly 3D
- Robo 3
- iReader
- 桌面时钟天气Fancy Widget Pro
- 炫彩方块动态壁纸 Light Grid
- 超级酷指南针
- 指纹解锁
- 夕阳轮廓动态壁纸
本报告涉及的样本中,ADRD木马被植入一款名为“动态脚印动态壁纸”(英文名“Live Prints Live Wallpaper”)的软件之中,于1月27日出现在国内所有主流手机论坛之中。被植入软件包括两部分:
1. 正常程序liveprints:
1) 服务LivePrints:android.service.wallpaper.WallpaperService
2) Activity:.LivePrintsSettings
2. 恶意代码com.xxx.yyy:
1) 接收器com.xxx.yyy.MyBoolService,用于启动(android.intent.action.BOOT_COMPLETED)
2) 接收器com.xxx.yyy.MyAlarmReceiver,自定义行为(com.lz.myservicestart)
3) 接收器com.xxx.yyy.NetWorkReceiver,响应网络状态变化(android.net.conn.CONNECTIVITY_CHANGE)
4) 接收器com.xxx.yyy.CustomBroadCastReceiver,响应电话状态(android.intent.action.PHONE_STATE)
5) 服务 com.xxx.yyy.MyService
样本需要获取系统的以下权限(图2):
- 读取通讯录数据
- 对Internet的完全访问
- 修改/删除SD卡的内容
- 读取和修改通话状态
- 写入APN(Access Point Name)设置
- 查看网络状态,查看Wi-Fi状态
- 开机时自动启动
图2 样本需要多项系统权限 特征字符串包括:
 http://adrd.taxuan.net/index.aspx?im=
 http://adrd.xiaxiab.com/pic.aspx?im=
 http://wap.baidu.com/
 imeiimsi
 myupdate.apk
 UNINET
 UNIWAP
 cmnet
 cmwap
四、 行为分析接收器行为分析
1. com.xxx.yyy.MyBoolService
木马通过这一接收器实现随系统开机而启动,然后发送com.lz.myservicestart广播消息,并设置一个2分钟后激活的Alarm。
2. com.xxx.yyy.MyAlarmReceiver
接收到com.lz.myservicestart广播后,启动MyService服务。
3. com.xxx.yyy.NetWorkReceiver
检查phone_start中的started标志,以判断MyService服务是否启动。如果没有,则将其启动。
4. com.xxx.yyy.CustomBroadCastReceiver
当通话状态变为空闲(即通话结束),修改phone_start中的started标志状态为启动,并启动MyService服务。
5. MyService
MyService启动后,首先尝试获取手机的IMEI和IMSI码。如果获取失败,等待6分钟后再次尝试。
下一步,查看网络连接状态。如果没有连接,则尝试打开网络连接。如果连接失败,则等待6分钟后再次尝试。访问APN设置中的配置信息,将其与”UNINET”、”UNIWAP”、”cmnet”、”cmwap”进行比较,以判断连接类型。
下一步,检查update_flag.xml中oldtime字段保存的样本上一次与控制服务器通信的时间,如果距离现在已经超过6小时,则搜集本机信息,再次向控制服务器发送数据,并更新oldtime(图3)。
图3 样本每6小时向控制服务器发起连接 恶意行为分析
该样本的主要恶意行为图4所示。其中所有步骤均在后台运行,对用户不可见。
图4 主要恶意行为示意图 1、 向控制服务器发送IMEI/IMSI和版本信息
MyService获取手机中的以下信息(图5):imei:被感染手机的IMEI码imsi:被感染手机的IMSI码iversion:样本版本,默认为1oversion:被感染的Android系统版本netway:取值1表示正常访问,取值0表示使用代理
图5 获取IMEI和IMSI码 接下来按下列方式和顺序构建一个明文字符串<string>:
<string> = Imei + “&” + imsi + “&” + netway + “iversion” + “oversion”
用DES算法对上述字符串加密(使用密钥“48734154”),得到密文字符串<enstring>。然后将密文字符串与控制服务器地址组成一个完整的URL:
http://adrd.taxuan.net/index.aspx?im=<enstring>
最后,向这个URL发送一个HTTP POST请求,从而将加密了的手机IMEI、IMSI码和版本信息一起发送到控制服务器adrd.taxuan.net。
2、 从控制服务器接收控制指令
样本接收控制服务器adrd.taxuan.net的应答消息,应答的数据为DES加密的密文,使用密钥“48734154”解密,然后根据解密所得明文的第二个字符执行下一步操作:
指令0:当前函数将后续字符串返回给调用函数;
指令1:开始执行第3步(连接数据服务器);
指令2:当前函数将后续字符串返回给调用函数;
指令3:开始执行第8步(连接更新服务器)。
3、 向数据服务器发送IMEI/IMSI
按下列方式和顺序构建一个明文字符串<string>:
<string> = Imei + “&” + imsi
用DES算法对上述字符串加密(使用密钥“48734154”),得到密文字符串<enstring>。然后将密文字符串与数据服务器地址组成一个完整的URL:
http://adrd.xiaxiab.com/pic.aspx?im=<enstring>
最后,向这个URL发送一个HTTP POST请求,从而将手机IMEI、IMSI码发送到数据服务器adrd.xiaxiab.com。
4、 从数据服务器接收URL列表
样本接收数据服务器adrd.xiaxiab.com的应答消息,应答的数据为DES加密的密文,使用“48734154”解密,得到如下明文(中间部分省略):
其中包含30条记录,以第一条记录为例,各字段含义为:
| | B
| 开始界定符
| 1
| 期望访问次数docount
| 963a_w1
| 标识identity
| http://59.173.12.105/g/g.ashx?w=963a_w1
| 关键词服务器URL gwurl
| 1
| hmul
| http://59.173.12.105/add/pk.aspx
| prul
| $
| 结束界定符
|
需要指出的是,获取的这30条记录在多次分析中均保持稳定,与发送到数据服务器的IMEI、IMSI码无关。
其中,我们将字符串gwurl称之为关键词服务器URL。关键词服务器的IP地址为59.173.12.102,在这30条记录中,服务器网址还以g.gxsmy.com的形式出现。
5、 多次访问关键词服务器
解析了30条记录后,样本获得30个不同的关键词服务器URL。接下来,它以1秒一次的频率依次访问这些URL(在HTTP请求中,refer字段被设置为记录中的prul值)。
6、 获得关键词和搜索链接
关键词服务器g.gxsmy.com返回给样本的数据具有如下形式:
1|http://wap.baidu.com/s?word=%e8%9d%8e%e5%ad%90&vit=uni&from=963a_w1
以“|”为分隔符,其中第二部分为搜索链接。这一链接指向百度WAP版的一个搜索结果页面。
在上述示例中,“%e8%9d%8e%e5%ad%90”是一串汉字对应的Unicode编码,也就是wap.baidu.com的搜索关键词。在分析中,相同的关键词服务器URL访问将返回不同的关键词,并且这些关键词之间没有显著的相关性。我们认为,这一关键词是由关键词服务器随机生成。
我们还注意到,在搜索链接中,出现了一个参数from,其值始终与对应关键词服务器URL中的w参数相同。例如,这里的963a_w1(标识)就出现在上一节的示例之中。
另一方面,第4步获得的30个URL分别对应于30个标识,对这30个标识,关键词服务器将返回搜索链接;而对其他标识,关键词服务器返回结果为空。
因此,关键词服务器维护了这30个标识的列表,并对访问请求做校验。这一在主要攻击流程中始终保持不变的标识信息具有重要含义。
7、 访问搜索链接
最后,样本将在系统后台访问搜索链接,下载该页面,从而造成大量的网络数据流量,而攻击者将得到一次对该链接的“点击”(图6)。
图6 访问搜索连接 当样本将30个URL以每秒一个的频率依次完成5、6、7三步,则此次与控制服务器的交互最终完成。相关线程退出,样本将等待6小时候后再次与控制服务器建立连接。
8、 连接更新服务器
当第2步由控制服务器发回的指令为3时,样本跳转到这一步执行。它将访问一个用于更新的URL,该URL的值在指令之后附带。
在分析过程中,控制服务器始终没有发回指令3,因此无法得知更新服务器的地址。我们认为这是样本的一种预留升级措施,目前尚未启用。
9、 下载更新安装包
样本访问更新服务器后,下载一个.apk安装文件,将其重命名为myupdate.apk,并保存在被感染手机SD卡的\sdcard\uc\目录下。此外,样本将在update_flag.xml中添加is_new属性。
我们对样本的分析中,没有发现安装这个.apk文件的有关代码。
五、 检测和清除方法 用户可以下载安天实验室提供的Android恶意代码专杀工具AVL PK for Android来查杀这一木马。下面是安装文件的信息:
下载地址:http://www.antiy.com/download/avlpk/AVLPK_for_Android_1.02.zip
文件名:AVL PK for Android.apk
文件大小:143,412 字节
文件MD5:2721be6205102dada7e1fa7e5c544606
版本:1.02
安装AVL PK for Android后,运行该专杀工具,选择“开始检查”并等待。若出现“检测到Trojan/Android.Adrd”(图7),选择卸载相应的软件,即可彻底清除这一木马。
此外,AVL PK for Android还能检测并清除目前流行的Geinimi木马。
图7 AVL PK for Android检测到ADRD木马 六、 总结 近年来,Android系统在智能手机市场占有率飞速增长,同时也成为新的热门攻击对象。手机终端的安全威胁日益严重,手机病毒的传播方式和获利方式已经呈现出多样化趋势,恶意行为的隐蔽性也不断提高。
另一方面,根据2010年10月中国科学院心理研究所的《智能手机用户对手机安全威胁的感知与应对行为》调研结果,有超过10%的用户不知道手机病毒的存在、超过三成用户对手机病毒完全未感到担忧。这为手机病毒的传播和攻击提供了很好的环境。统计显示,自1月27日首次出现至今,ADRD木马已经在国内大范围传播,辐射范围达百万用户。
目前,国内存在多家第三方Android应用市场和大量手机论坛,它们在为用户提供便捷服务的同时,也埋下了巨大的安全隐患。此次ADRD木马以及不久前的Geinimi木马,均主要通过论坛和下载站传播。因此,安天建议用户仅从官方站点或可信任的应用市场下载手机软件,以避免受到手机病毒的危害。
此外,安装软件时,用户还应注意其申请的权限,如果有明显不合理的权限要求,应予以谨慎对待。例如,壁纸类软件正常情况下不需要任何特殊的系统权限,如果有访问手机信息、访问网络的要求,就应拒绝安装。 |
|
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|