阿拉伯木马成功汉化,多款APP惨遭模仿用于攻击

作者:深圳市网安计算机安全检测技术有限公司 | 国际 2020/01/20 14:05:47 73
文章来源:https://www.freebuf.com/articles/terminal/224438.html

概述

近日,奇安信病毒响应中心在日常样本监控过程中发现了一批伪装成点读通.apk、作业帮.apk、手机找回.apk、PUBG.apk等国内用户常用软件的MobiHok家族样本。

样本在执行过程中为了迷惑用户会安装内置的正规APK,真正的恶意程序则隐匿执行,用户在此过程中一般感觉不到异常,从而窃取用户短信、联系人、通话记录、地理位置、键盘记录、文件目录、应用信息、手机固件信息、录音、录像、截屏、拨打电话、发送短信等。

基于奇安信的多维度大数据关联分析,我们已经发现国内有用户中招,为了防止危害进一步扩散,我们对该远控木马进行了详细分析,并给出解决方案。

MobiHokRAT简介

MobiHok最早在2019年七月份在地下论坛中被发现,售卖者名为“Mobeebom”,除了在多个阿·拉伯语地下论坛活跃之外,售卖者还通过FaceBook、youtube进行宣传,在FaceBook进行宣传时同样使用了阿拉伯文。

YouTube中拍摄了各个版本的运行视频和一些安全机制绕过方法:

目前V4版本已经免费,在其官网上可以下载,其余版本收费情况如下,价格不菲:

相关证据表明在V4版本免费之后,国内使用该家族的团伙逐渐变多,且V4版本就可以绕过华为、三星、Google Play安全机制和FaceBook身份验证。奇安信监控的数据如下:

V4版本主控端界面如下:

Mergin App项中可以嵌入任意正规APP。

样本分析

相关样本如下:

申请的权限:

该远控APK木马功能复杂,在执行过程中会运行内置正规Apk软件来迷惑用户,可以从资源中dump出正规的apk文件:

安装后为作业帮app:

而木马则在手机中隐秘执行,监听电池变化的广播,每当电池电量有变化时,计算百分比,并获取充电类型:

获取手机网络链接类型:

测试是否能访问www.google.com:

查看屏幕保护的状态:

会静默安装内置的正规APP,并启动:

kforniwwsw0类作为服务在MainActivity中被调用,连接远程C2服务器:

远控功能列表整理如下

指令参数指令功能
calls_delete删除通话记录
OpenApp打开指定app
KeyStart配置相关
ViewFile文件查看
WriteFiles文件写入
fcbkopen()创建子目录
ConnectedDownloadManager指定URL下载者
AccountManager()账户管理
MicrophoneStop()麦克风停止
ViewFileVideoPlay浏览视频文件
PlayStop停止播放
Apps()枚举安装的app
DelLog删除日志
GetLog获取日志
gglopen()获取指定app信息
SaveEdit保存编辑
REHost修改Host
StartServiceGLocation()启动位置服务
CompressFiles压缩文件
DownManager下载者
CallsManager()通话记录管理
DDownManagerSocket管理
WinCall联网环境下电话呼入呼出
StartServiceCamera开启摄像头服务
contacts_delete联系人删除
Microphone20()麦克风相关
deleteFiles删除文件
Terminal远程终端
SetWallpaper设置手机背景墙
FileManager2文件管理
FileDelete文件删除
Microphone()麦克风相关
ContactsManager()联系人管理
properties获取properties文件
FileMove文件移动
FileRename文件重命名
FSettings获取设备相关信息
_VibratorOff设置相关
contacts_write添加联系人
FUN恶搞相关
FControl控制音量、蓝牙、GPS、WIFI等功能
AmDPM修改锁屏密码
FileManager文件管理
toast弹框
unzip解压缩
PlayStart开始播放
FindCamera()寻找摄像头设备
SMSManager短信管理
key_logger键盘记录
ListenMicrophone麦克风监听
FileStart弹出文件
FileWrite文件写入
ViewFileVideoBreak()视频相关
StopServiceGLocation()停止定位服务
KeyStop设置相关
CallPhone拨打电话
_Vibrator设置相关
chatOpen打开聊天框
chat_set聊天设置
edithost修改Host
EditFile修改文件
SetParameters设置摄像头参数
StopServiceCamera()停止摄像头服务
InfDownManager下载者

相关的远控操作:

相关功能代码:

FSettings获取本机设备相关信息,如手机号、SDK_INT、Language、Siminfo、IMSI、IMEI、MAC、SSID、RSSI等相关信息:

获取当前音频模式:

获取手机摄像头相关信息:

获取通话记录相关信息。姓名、电话号、类型、持续时间:

录音功能:

文件管理:

音频管理:

键盘记录:

下载者:

获取联系人信息:

拨号功能:

添加新联系人:

总结

近年来,诸如SpyNote、AhMyth、AndroRAT等安卓远控相继免费甚至公开源代码,黑产向移动端转型的成本大大降低,相比于PC端的远控,安卓远控在地下论坛中售价较为便宜,1500-2500不等,有些中间商甚至使用开源的远控框架不做任何免杀就在地下论坛进行贩卖。


推荐关注

指导单位
广东省公安厅网络警察总队 | 广东省信息安全等级保护协调小组办公室