近日,Doctor Web安全小組發現了一個新的Android木馬,被命名為Android.Backdoor.260.origin。該木馬在中國用戶之間傳播,監視著受害者的信息。攻擊者可以利用該木馬劫持受害者的短信、通話記錄、定位GPS坐標、屏幕截圖,甚至還可以搜集所有用戶輸入的數據。
由于Android.Backdoor.260.origin會以"AndroidUpdate"名字散播,所以受害者很有可能在他們的移動設備上安裝它。
木馬詳情分析
Android.Backdoor.260.origin有一個相當復雜的模塊化結構,其最主要的惡意功能被嵌入進了惡意程序的安裝包中。首次啟動時,該木馬會提取以下組件:
super
detect
liblocSDK4b.so
libnativeLoad.so
libPowerDetect.cy.so
1.dat
libstay2.so
libsleep4.so
substrate_signed.apk
cInstall
接下來它會嘗試用root權限運行二進制cInstall文件(Dr.Web發現并命名為Android.BackDoor.41)。如果成功運行,惡意模塊就會將之前提取到的文件植入系統文件夾中,然后偷偷的安裝“Substrate”工具。該工具具有擴展應用程序的功能,但已被Android.Backdoor.260.origin利用于劫持用戶輸入的數據了。如果該木馬不能獲得root訪問權限,那么上述一系列惡意操作將不會出現。
如果所有的模塊都已安裝完成,Android.Backdoor.260.origin木馬便會刪除之前創建的快捷方式,然后啟動PowerDetectService惡意服務。該服務會以libnativeLoad.so和Substrate名義運行惡意模塊。事實上,這個工具并不是惡意軟件,很容易能從Google Play下載到。但是攻擊者修改了原版的應用,然后把修改后的版本放到Android.Backdoor.260.origin中。因此,這個工具對于手機用戶來說就有潛在的危險性。
libnativeLoad.so組件會運行“detect”文件(Android.BackDoor.45),它會啟動1.dat模塊(Android.BackDoor.44),這個模塊會激活libsleep4.so庫(Android.BackDoor.46)和libstay2.so庫(Android.BackDoor.43),前者會不斷地對手機截屏,并對用戶輸入的數據進行截聽,后者的功能則是竊取通訊錄,監控手機短信和QQ信息。
1.dat組件可以通過C&C服務器接受大量命令,如下:
1.DOW-從服務器上下載文件
2.UPL-上傳文件到服務器
3.PLI、PDL、SDA-更新惡意模塊和設置
4.DIR-獲得特定文件夾中的文件列表
5.DTK-將特定文件夾中的內容寫到一個文件中
6.OSC、STK-在文件夾中搜索制定文件
7.OSF-中止搜索指定的文件
8.DEL-刪除指定的文件
9.SCP-截圖
10.BGS-激活麥克風并開始錄音
11.GPRS-定位GPS坐標
需要注意的是,有些指令是1.dat模塊自己執行的,而另一些是在其他一些惡意庫的幫助下執行的,這些庫使用以下的這些雙字節指令通過UNIX sockets互相通信:
0x2633-開始使用內置麥克風記錄,
0x2634-停止錄音,
0x2635-更新錄音配置文件,
0x2629-復制聯系人列表,
0x2630-復制聯系人列表,
0x2631-復制短信,
0x2632-復制通話記錄,
0x2628-發送設備位置信息到服務器
0x2532-發送當前運行的應用程序信息到服務器
0x2678-上傳用戶輸入的數據到服務器
安全建議
安全專家建議用戶一定要從可信任的來源處獲得應用程序安裝包,未知來源的應用程序一定不要安裝。另外,最好要安裝一個受信任、有效的殺毒軟件。
京公網安備 11010502049343號