DwallAv手机间谍木马分析报告


发布人:admin分类:网络安全浏览量:28发布时间:2017-12-12

近期我们团队截获了一款功能强大的专业间谍软件,它可以通过PC端远程控制中招用户的手机,控制指令高达二十多种,窃取用户手机通讯录,短信,照片及其它重要隐私数据。这个远控木马与去年知名的Android.Dendoroid木马家族手段非常相似,所以我们将其命名为Android.Dendoroid.B。

 

恶意样本运行流程:

一、主包“蓝牙服务”分析

1)、主包启动后首先申请root权限,并通过pm disable禁用安全软件。

影响的安全软件有:

cn.opda.a.phonoalbumshoushou — 百度手机卫士
com.anguanjia.safe —安全管家
com.tencent.qqpimsecure — 腾讯手机管家
com.lenovo.safecenter — 联想乐安全
com.qihoo360.mobilesafe — 360卫士

2)、将系统目录挂载成可读写,从assets目录下释放PhoneSystemProvider.obb文件,拷贝到system/app目录下并重命名为PhoneSystemProvider.apk

3)、监控PACKAGE_REMOVED广播,检测卸载的应用如果是“FindPhone”就重新释放安装assets目录下的PhoneSystemProvider.obb,否则就弹出伪造的清理垃圾界面。

4)、伪造清理垃圾界面,同时推广软件。

点击清理应用并无实际功能:

二、子包“FindPhone”分析

子包的主要功能是利用Droidwall的技术与安全软件对抗,并且与主包进行相互监控保护。子包运行后检测是否安装了指定的安全软件,如果是就将该安全软件加到Droidwall网络防火墙的黑名单中去。导致安全软件联网数据包被丢弃,对抗安全软件的云查杀、更新及各种联网操作。

Droidwall的实现原理就是linux的iptables规则,更多Droidwall:

项目地址:https://code.google.com/p/droidwall/
源代码下载地址:http://droidwall.googlecode.com/svn/

1)、当FindPhone启动后,监控PACKAGE_ADDED广播,如果新安装的不是主包“蓝牙服务”,并且手机中也未安装,则从远程服务器下载安装主包“蓝牙服务”。

2)、获取手机中已安装的安全软件:

获取的安全软件与主包“蓝牙服务”相同:

cn.opda.a.phonoalbumshoushou — 百度手机卫士
com.anguanjia.safe — 安全管家
com.tencent.qqpimsecure — 腾讯手机管家
com.lenovo.safecenter — 联想乐安全
com.qihoo360.mobilesafe — 360卫士

3)、设置黑名单模式

4)、以黑名单模式构建DroidWall.sh,运行成功后即可禁用黑名单中安全软件的一切联网操作

5)、脚本示例如下:

6)、在真实环境中运行时的结果示例:

解释上图中的10045:每个应用安装后Android系统都会为该应用分配一个uid,10045是测试用机上分配给某安全软件的uid,可以看到将10045的3G和wifi的数据包全部拒绝(droidwall-reject)

在连接wifi的情况下,安全软件已无法自动更新。

7)、禁止指定应用弹出通知栏提示(此功能只在安卓4.2及后续版本中生效)

被禁止的应用有:

com.mgyun.shua.su — ROOT大师
com.dianxinos.superuesr(猜测作者写错了,应该为com.dianxinos.superuser) — 百度授权管理
com.system.buletooth — 主包“蓝牙服务”

三、解决方案

目前对于已中招的用户可以通过如下两种方式清除此木马:

360系统急救箱-安卓手机木马专杀,下载地址:http://www.360.cn/jijiuxiang/

360卫士极客版,下载地址:http://geek.360.cn/

* 作者/360手机卫士(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21310340(PV) 页面执行时间:79.469(MS)
  • xml
  • 网站地图