相冊類木馬專題分析

新聞 09-14

1. 摘要

2016年大量安卓手機用戶反饋，其手機會自動向通訊錄發送帶有鏈接的簡訊及出現銀行卡自動扣費等現象。安全研究人員針對這系列的木馬，進行了相關的分析及追蹤。發現黑客通過偽基站向用戶發送誘騙簡訊，或者偽裝熱門app並上傳到安卓下載平台等方式誘導用戶安裝，以及通過第一批的受害者手機向通訊錄所有聯繫人發送惡意下載地址，這種「鳥槍法」的傳播手段，能無限循環傳播下去，使得手機簡訊傳播惡意程序的數量大幅增長，危害面急劇增大。

2. 木馬整體工作流程

該木馬私自獲取簡訊內容,通訊錄信息並發送到指定郵箱, 轉發接收簡訊到指定號碼，具有隱私竊取屬性；根據簡訊指令執行指定操作，具有遠程控制屬性；私自發送不同內容簡訊到指定號碼，造成用戶資費消耗，具有資費消耗屬性；監控簡訊的接收，私自攔截指定內容或指定號碼發來的簡訊，刪除指定內容簡訊，具有系統破壞的屬性；啟動後誘導用戶激活設備管理器，隱藏圖標，防止自身被卸載，具有流氓行為。木馬執行基本流程圖如圖2-1所示。

圖 2-1 整體工作原理

3. 木馬技術原理分析

3.1 防卸載技術

3.1.1 隱藏圖標

木馬運行之後隱藏圖標，之後木馬後再後台私自運行，同時誘導用戶激活設備管理器，防止用戶發現和卸載，具有一定的隱蔽性。

隱藏圖標代碼如圖3-1所示：

圖 3-1 隱藏圖標

3.1.2 誘導用戶激活設備管理器

誘導用戶激活設備管理器，並發送用戶是否激活設備管理器簡訊到指定號碼，具體如圖3-2所示：

圖 3-2 誘導用戶獲取設備管理器許可權

誘導用戶獲取設備管理器許可權具體實現代碼如圖3-3所示。

圖 3-3 誘導用戶獲取設備管理器許可權代碼

3.1.3 虛假卸載

病毒在用戶在嘗試卸載該惡意程序時，會彈出包含有惡意應用圖標和名稱的卸載選項，用戶點擊該圖標後提示虛假的卸載信息並繼續在後台運行，如圖3-4、圖3-5所示。

圖 3-4 偽造虛假卸載

圖 3-5 偽造虛假卸載

3.2 木馬狀態報送

該木馬會實際監控木馬的狀態，在用戶啟動木馬，激活設備管理器、卸載等操作時，會隨時通過簡訊的方式通報黑客，黑客手機號碼為13*61。

啟動時通過簡訊的方式通知黑客用戶已經運行木馬，如圖3-6所示。

圖 3-6 啟動通知黑客

用戶激活獲取消激活設備管理器時，通過簡訊通知黑客目前狀態，如圖3-7所示。

圖 3-7 發送激活設備管理狀態

用戶卸載軟體時通知黑客，如圖3-8所示。

圖 3-8 卸載通知

3.3 快速傳播

木馬在啟動時，後台遍歷用戶通訊錄，並發送帶有惡意URL的簡訊，誘騙用戶聯繫人下載安裝，該方法可以使得木馬傳播速度很快，具如圖3-9所示。

圖 3-9 快速傳播

3.4 竊取用戶信息

3.4.1 初始化數據

初始化遠控號碼、發送和接收的郵箱以及郵箱密碼等信息，具體如圖3-10、圖3-11、圖3-12、圖3-13所示。

圖 3-10 初始化數據

圖 3-11 內置遠控號碼

圖 3-12 內置郵箱賬號

圖 3-13 內置郵箱密碼

3.4.2 收集信息

通過簡訊發送手機的IMEI、型號、系統版本等信息到指定號碼，具體如圖3-14、圖3-15所示。

圖 3-14 手機信息

圖 3-15 發送手機信息

木馬私自後台收集用戶簡訊、通訊錄信息，並通過郵件的方式發送用戶信息到指定郵箱，如圖3-16所示。

圖 3-16 竊取簡訊和通訊錄信息

私獲取簡訊內容並發送到指定郵箱，具體如圖3-17、如圖3-18所示。

圖 3-17 獲取簡訊息

圖 3-18 獲取簡訊息並格式化

通過郵件的方式發送用戶簡訊到指定郵箱，具體如圖3-19、圖3-10所示。

郵箱地址: sh*8@263.net

密碼: zq*20

圖 3-19 發送郵件

圖 3-20 郵件信息

私獲取聯繫人內容並發送到指定郵箱，具體如圖3-21、圖3-22所示。

圖 3-21 獲取聯繫人信息

圖 3-22 格式化聯繫人信息

通過郵件方式發送聯繫人信息到指定郵箱，如圖3-23所示。

郵箱地址: sh*8@263.net

密碼: zq*20

圖 3-23 發送郵件

3.4.3 遠程控制

病毒運行時還會對接收的簡訊進行監聽，當主控號碼發來簡訊時，會對簡訊內容進行解析獲取指令信息，並控制執行相應的惡意操作。

屏蔽用接收簡訊，啟動服務解析簡訊指令，防止用戶察覺，如圖3-24所示。

主控號碼：131*61

圖 3-24 屏蔽簡訊

具體簡訊指令及對應惡意行為，如表3-1所示：

表 3-1 遠程指令列表

根據簡訊指令執行發送簡訊，攔截簡訊等操作，具體如圖3-25所示。

圖 3-25 遠控執行惡意操作

已啟動簡訊攔截功能，則轉發用戶接收簡訊到指定號碼，同時屏蔽和刪除該條簡訊，防止用戶發現，具體如圖3-26、圖3-27所示。

圖 3-26 轉發簡訊

圖 3-27 刪除簡訊

手機系統版本大於4.2.2，發送簡訊時，私自設置手機為靜音模式，防止用戶發現收到的簡訊，具體如圖3-28所示。：

圖 3-28 設置靜音模式

3.5 誘騙方式

木馬通過向聯繫人發送簡訊，並將惡意URL嵌入到簡訊中，通過這種方式增加了誘騙的可信度，從而誘騙用戶下載安裝，具體如3-29所示。

圖 3-29 簡訊誘騙下載

經過統計發現，目前相冊類病毒主要是通過簡訊群發進行傳播

XXX：自己瞧瞧 URL

XXX與你有關的，打開看下 URL

XXX老同學好，這是URL同學們新整理出來的紀念柵和聯繫錄，大家相互保存，祝您生活和樂家庭幸福

XXX你看這是我們重逢一起的時候拍的URL致逝去的青春……

4. 數據統計分析

4.1 主控號碼統計分析

對目前發現的所有相冊類提取主控手機號碼進行統計，其中主控號碼運營商佔比分別為，中國移動佔比64%、中國聯通佔比43%、中國電信佔比2%，具體佔比如圖。

主控號碼歸屬地統計發現，其中廣東佔比高達54%，其他依次為北京佔比9%、江蘇佔比6%、山東佔比6%，具體佔比情況如圖。

4.2 竊密郵箱統計分析

總共捕獲竊密郵箱6700多，其中涉及郵箱近兩百種，主要以21.cn、網易郵箱為主，具體佔比如圖：

4.3 傳播地址統計分析

2016年全年總共監測到2萬偽裝相冊類竊密軟體，對所有傳播地址域名進行分析統計，其中TOP10域名如下表所示。

序號	域名	頻次
1	www.7cbox.cn	1479
2	fileserver.iuoooo.com	992
3	nm2189cloud.oos-nm2.ctyunapi.cn	975
4	tj-ctfs.ftn.qq.com	547
5	gz189cloud.oos-gz.ctyunapi.cn	443
6	myfile.testin.cn	396
7	0158a.com	319
8	sz.ctfs.ftn.qq.com	293
9	shunsss.com	212
10	czpet.cn	147