吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 11891|回复: 18
收起左侧

[转载] Android木马HongTouTou(又名ADRD)分析报告

 关闭 [复制链接]
Hmily 发表于 2011-2-18 19:48
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
Android木马HongTouTou(又名ADRD)分析报告
出处:安天实验室 时间:2011年2月18日
一、        基本信息病毒名称:Trojan/Android.Adrd.a[Clicker]
病毒别名:HongTouTou、ADRD
病毒类型:木马
样本MD5:A84997B0D220E6A63E2943DA64FFA38C
样本CRC32:A42850DE
样本长度:1,316,981 字节
原始文件名:Newfpwap_com_liveprintslivewallpaper.apk
出现时间:2011.01.27
感染系统:Android 2.0及以上

二、        概述    ADRD木马(又名HongTouTou木马)被植入十余款合法软件中(图1),通过多家论坛、下载站点分发下载实现大范围传播。其主要行为包括:开启多项系统服务;每6小时向控制服务器发送被感染手机的IMEI、IMSI、版本等信息;接收控制服务器传回的指令;从数据服务器取回30个URL;依次访问这些URL,得到30个搜索引擎结果链接;在后台逐一访问这些链接;下载一个.apk安装文件到SD卡指定目录。感染该木马的手机将产生大量网络数据流量,从而被收取流量费用。攻击者通过增加搜索链接的访问量而获益。用户可以下载安天提供的Android恶意代码专杀工具AVL PK for Android检测手机是否感染这一木马,并卸载相应软件将其清除。

图1 正常软件与被植入木马的软件
三、        样本特征    截止本分析报告发布,安天已经检测到ADRD木马(又名HongTouTou木马)被植入到下列Android软件: 
  • 动态脚印动态壁纸Live Prints Live Wallpaper
  • TurboFly 3D
  • Robo 3
  • iReader
  • 桌面时钟天气Fancy Widget Pro
  • 炫彩方块动态壁纸 Light Grid
  • 超级酷指南针
  • 指纹解锁
  • 夕阳轮廓动态壁纸
    本报告涉及的样本中,ADRD木马被植入一款名为“动态脚印动态壁纸”(英文名“Live Prints Live Wallpaper”)的软件之中,于1月27日出现在国内所有主流手机论坛之中。被植入软件包括两部分:
1.        正常程序liveprints:
1)        服务LivePrints:android.service.wallpaper.WallpaperService
2)        Activity:.LivePrintsSettings
2.        恶意代码com.xxx.yyy:
1)        接收器com.xxx.yyy.MyBoolService,用于启动(android.intent.action.BOOT_COMPLETED)
2)        接收器com.xxx.yyy.MyAlarmReceiver,自定义行为(com.lz.myservicestart)
3)        接收器com.xxx.yyy.NetWorkReceiver,响应网络状态变化(android.net.conn.CONNECTIVITY_CHANGE)
4)        接收器com.xxx.yyy.CustomBroadCastReceiver,响应电话状态(android.intent.action.PHONE_STATE)
5)        服务 com.xxx.yyy.MyService
样本需要获取系统的以下权限(图2):
  • 读取通讯录数据
  • 对Internet的完全访问
  • 修改/删除SD卡的内容
  • 读取和修改通话状态
  • 写入APN(Access Point Name)设置
  • 查看网络状态,查看Wi-Fi状态
  • 开机时自动启动

图2 样本需要多项系统权限
特征字符串包括:
        http://adrd.taxuan.net/index.aspx?im=
        http://adrd.xiaxiab.com/pic.aspx?im=
        http://wap.baidu.com/
        imeiimsi
        myupdate.apk
        UNINET
        UNIWAP
        cmnet
        cmwap
四、        行为分析接收器行为分析
1.        com.xxx.yyy.MyBoolService
木马通过这一接收器实现随系统开机而启动,然后发送com.lz.myservicestart广播消息,并设置一个2分钟后激活的Alarm。
2.        com.xxx.yyy.MyAlarmReceiver
接收到com.lz.myservicestart广播后,启动MyService服务。
3.        com.xxx.yyy.NetWorkReceiver
检查phone_start中的started标志,以判断MyService服务是否启动。如果没有,则将其启动。
4.        com.xxx.yyy.CustomBroadCastReceiver
当通话状态变为空闲(即通话结束),修改phone_start中的started标志状态为启动,并启动MyService服务。
5.        MyService
MyService启动后,首先尝试获取手机的IMEI和IMSI码。如果获取失败,等待6分钟后再次尝试。
下一步,查看网络连接状态。如果没有连接,则尝试打开网络连接。如果连接失败,则等待6分钟后再次尝试。访问APN设置中的配置信息,将其与”UNINET”、”UNIWAP”、”cmnet”、”cmwap”进行比较,以判断连接类型。
下一步,检查update_flag.xml中oldtime字段保存的样本上一次与控制服务器通信的时间,如果距离现在已经超过6小时,则搜集本机信息,再次向控制服务器发送数据,并更新oldtime(图3)。

图3 样本每6小时向控制服务器发起连接
恶意行为分析
    该样本的主要恶意行为图4所示。其中所有步骤均在后台运行,对用户不可见。

图4 主要恶意行为示意图
1、        向控制服务器发送IMEI/IMSI和版本信息
MyService获取手机中的以下信息(图5):imei:被感染手机的IMEI码imsi:被感染手机的IMSI码iversion:样本版本,默认为1oversion:被感染的Android系统版本netway:取值1表示正常访问,取值0表示使用代理

图5 获取IMEI和IMSI码
接下来按下列方式和顺序构建一个明文字符串<string>:
<string> = Imei + “&” + imsi + “&” + netway + “iversion” + “oversion”
用DES算法对上述字符串加密(使用密钥“48734154”),得到密文字符串<enstring>。然后将密文字符串与控制服务器地址组成一个完整的URL:
http://adrd.taxuan.net/index.aspx?im=<enstring>
最后,向这个URL发送一个HTTP POST请求,从而将加密了的手机IMEI、IMSI码和版本信息一起发送到控制服务器adrd.taxuan.net。
2、        从控制服务器接收控制指令
样本接收控制服务器adrd.taxuan.net的应答消息,应答的数据为DES加密的密文,使用密钥“48734154”解密,然后根据解密所得明文的第二个字符执行下一步操作:
指令0:当前函数将后续字符串返回给调用函数;
指令1:开始执行第3步(连接数据服务器);
指令2:当前函数将后续字符串返回给调用函数;
指令3:开始执行第8步(连接更新服务器)。
3、        向数据服务器发送IMEI/IMSI
按下列方式和顺序构建一个明文字符串<string>:
<string> = Imei + “&” + imsi
用DES算法对上述字符串加密(使用密钥“48734154”),得到密文字符串<enstring>。然后将密文字符串与数据服务器地址组成一个完整的URL:
http://adrd.xiaxiab.com/pic.aspx?im=<enstring>
最后,向这个URL发送一个HTTP POST请求,从而将手机IMEI、IMSI码发送到数据服务器adrd.xiaxiab.com。
4、        从数据服务器接收URL列表
样本接收数据服务器adrd.xiaxiab.com的应答消息,应答的数据为DES加密的密文,使用“48734154”解密,得到如下明文(中间部分省略):
B#1#963a_w1|http://59.173.12.105/g/g.ashx?w=963a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#961a_w1|
http://59.173.12.105/g/g.ashx?w=961a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#964a_w1|
http://59.173.12.105/g/g.ashx?w=964a_w1|1|
…………
http://59.173.12.105/add/pk.aspx$B#1#961a_w1|http://59.173.12.105/g/g.ashx?w=961a_w1|1|
http://59.173.12.105/add/pk.aspx$

其中包含30条记录,以第一条记录为例,各字段含义为:
字段取值
含义
B
开始界定符
1
期望访问次数docount
963a_w1
标识identity
http://59.173.12.105/g/g.ashx?w=963a_w1
关键词服务器URL gwurl
1
hmul
http://59.173.12.105/add/pk.aspx
prul
$
结束界定符

需要指出的是,获取的这30条记录在多次分析中均保持稳定,与发送到数据服务器的IMEI、IMSI码无关。
其中,我们将字符串gwurl称之为关键词服务器URL。关键词服务器的IP地址为59.173.12.102,在这30条记录中,服务器网址还以g.gxsmy.com的形式出现。
5、        多次访问关键词服务器
解析了30条记录后,样本获得30个不同的关键词服务器URL。接下来,它以1秒一次的频率依次访问这些URL(在HTTP请求中,refer字段被设置为记录中的prul值)。
6、        获得关键词和搜索链接
关键词服务器g.gxsmy.com返回给样本的数据具有如下形式:
1|http://wap.baidu.com/s?word=%e8%9d%8e%e5%ad%90&amp;vit=uni&from=963a_w1
以“|”为分隔符,其中第二部分为搜索链接。这一链接指向百度WAP版的一个搜索结果页面。
在上述示例中,“%e8%9d%8e%e5%ad%90”是一串汉字对应的Unicode编码,也就是wap.baidu.com的搜索关键词。在分析中,相同的关键词服务器URL访问将返回不同的关键词,并且这些关键词之间没有显著的相关性。我们认为,这一关键词是由关键词服务器随机生成。
我们还注意到,在搜索链接中,出现了一个参数from,其值始终与对应关键词服务器URL中的w参数相同。例如,这里的963a_w1(标识)就出现在上一节的示例之中。
另一方面,第4步获得的30个URL分别对应于30个标识,对这30个标识,关键词服务器将返回搜索链接;而对其他标识,关键词服务器返回结果为空。
因此,关键词服务器维护了这30个标识的列表,并对访问请求做校验。这一在主要攻击流程中始终保持不变的标识信息具有重要含义。
7、        访问搜索链接
最后,样本将在系统后台访问搜索链接,下载该页面,从而造成大量的网络数据流量,而攻击者将得到一次对该链接的“点击”(图6)。

图6 访问搜索连接
    当样本将30个URL以每秒一个的频率依次完成5、6、7三步,则此次与控制服务器的交互最终完成。相关线程退出,样本将等待6小时候后再次与控制服务器建立连接。
8、        连接更新服务器
    当第2步由控制服务器发回的指令为3时,样本跳转到这一步执行。它将访问一个用于更新的URL,该URL的值在指令之后附带。
在分析过程中,控制服务器始终没有发回指令3,因此无法得知更新服务器的地址。我们认为这是样本的一种预留升级措施,目前尚未启用。
9、        下载更新安装包
    样本访问更新服务器后,下载一个.apk安装文件,将其重命名为myupdate.apk,并保存在被感染手机SD卡的\sdcard\uc\目录下。此外,样本将在update_flag.xml中添加is_new属性。
我们对样本的分析中,没有发现安装这个.apk文件的有关代码。
五、        检测和清除方法    用户可以下载安天实验室提供的Android恶意代码专杀工具AVL PK for Android来查杀这一木马。下面是安装文件的信息:
下载地址:http://www.antiy.com/download/avlpk/AVLPK_for_Android_1.02.zip
文件名:AVL PK for Android.apk
文件大小:143,412 字节
文件MD5:2721be6205102dada7e1fa7e5c544606
版本:1.02
    安装AVL PK for Android后,运行该专杀工具,选择“开始检查”并等待。若出现“检测到Trojan/Android.Adrd”(图7),选择卸载相应的软件,即可彻底清除这一木马。
此外,AVL PK for Android还能检测并清除目前流行的Geinimi木马。

图7 AVL PK for Android检测到ADRD木马
六、        总结    近年来,Android系统在智能手机市场占有率飞速增长,同时也成为新的热门攻击对象。手机终端的安全威胁日益严重,手机病毒的传播方式和获利方式已经呈现出多样化趋势,恶意行为的隐蔽性也不断提高。
    另一方面,根据2010年10月中国科学院心理研究所的《智能手机用户对手机安全威胁的感知与应对行为》调研结果,有超过10%的用户不知道手机病毒的存在、超过三成用户对手机病毒完全未感到担忧。这为手机病毒的传播和攻击提供了很好的环境。统计显示,自1月27日首次出现至今,ADRD木马已经在国内大范围传播,辐射范围达百万用户。
    目前,国内存在多家第三方Android应用市场和大量手机论坛,它们在为用户提供便捷服务的同时,也埋下了巨大的安全隐患。此次ADRD木马以及不久前的Geinimi木马,均主要通过论坛和下载站传播。因此,安天建议用户仅从官方站点或可信任的应用市场下载手机软件,以避免受到手机病毒的危害。
    此外,安装软件时,用户还应注意其申请的权限,如果有明显不合理的权限要求,应予以谨慎对待。例如,壁纸类软件正常情况下不需要任何特殊的系统权限,如果有访问手机信息、访问网络的要求,就应拒绝安装。

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

是昔流芳 发表于 2011-2-18 19:52
手机安全是个新领域,但技术大都集中在从业者那里,我这样的民间爱好者门都摸不到...
zjzjf 发表于 2011-2-18 19:59
408281262 发表于 2011-2-18 20:36
安卓系统算是很人性化了 被人盯上是早晚的事情树大招风,针对安卓的杀毒系统貌似还是空白  可以开发一下
阿杰 发表于 2011-2-18 21:03
安卓也有木马啊。 。
zapline 发表于 2011-2-19 10:40
NDK一流行,安卓就更不安全了
摔台走人 发表于 2011-2-21 09:40
AD自出道以来针对AD的杀软一直都处于空白阶段。鉴于360只是拟补了一些爱好者的心理,实质上早晚有一天会被盯上。我们只能走一步算一步了
archon 发表于 2011-2-24 19:51
看来要注意一下了。。给自己手机也做个检查!!
whaqq 发表于 2011-2-25 12:32
我的手机不会感染了吧,怕怕
mldf58 发表于 2011-2-25 14:54
感谢楼主,学习了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 14:06

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表