近日,Palo Alto Networks 威脅情報團隊Unit42 宣布發現一類新型安卓木馬SpyNote,該木馬可執行遠程入侵功能,其生成器近日在多個惡意軟件論壇上遭泄露。 SpyNoted與知名的RAT (Remote Administration Tools, RAT) 程序OmniRat 和 DroidJack相類似,令惡意軟件所有者能夠對Android設備實施遠程管理控制。
與其他RAT一樣,SpyNote有如下主要特征,
無需Root訪問權限
安裝新的APK 并更新惡意軟件
將設備上的文件復制到電腦上
瀏覽設備上全部信息
監聽設備來電
獲取設備上的聯系人列表
借助設備麥克風監聽或者錄制音頻
控制設備攝像頭
獲取IMEI串號、Wi-Fi MAC地址以及手機運營商信息
獲取設備最后一個GPS定位信息
撥打電話
SpyNote 安裝包要求受害者接受并準許SpyNote執行諸多操作,包括:編輯文本信息、讀取通話記錄和聯系方式、修改或刪除SD卡內容,已有證據顯示SpyNote將內容上傳至惡意軟件分析網站 VirusTotal和Koodous。
分析
安裝成功后,SpyNote便將該應用的圖標從受害者設備上抹去,這充分表明SpyNote的生成器應用是用.NET開發的。
該應用未做掩飾處理,也不受任何掩飾工具或保護工具的保護。
圖二,反編譯SpyNote生成器
鑒于使用的端口編號與視頻中(視頻地址為https://www.youtube.com/watch?v=E9OxlTBtdkA)所演示的毫無二致,以及上傳程序僅僅修改了APK的圖標而已,上傳程序在使用SpyNote時可按照該視頻中所描述的方法去操作。
此外,經過配置,該RAT可通過TCP端口2222進行C&C遠程命令與控制(IP地址為141.255.147.193)的通信,如下圖,
圖三,借助Cerbero profiler實現Dalvik字節碼視圖
圖四,SpyNote開啟套接字鏈接
基于我們已掌握的信息,現在我們已經了解到該惡意軟件使用硬編碼SERVER_IP 和 SERVER_PORT values (如圖四所示)來實現套接字鏈接。我們現在可以借助Androguard (https://github.com/androguard/androguard) 來設計一款C2信息提取程序,如下圖所示,spynote.C2.py腳本將這些數值從APK文件中解析出來,并將其應用于命令行中,如圖五所示。
圖五,提取出的命令與控制服務器信息
結論
安裝第三方應用將會危險重重,這些資源缺少如Google Play Store這樣官方來源的監管,而且,即使有詳盡的步驟和算法來去除那些惡意應用程序,這些應用也并非無懈可擊。旁加載來自于有問題來源的應用,會把使用者以及他們使用的移動設備曝露于各類惡意軟件和數據丟失危險之中。
到現在為止,我們還沒有看到有主動攻擊使用了SpyNote,但我們擔心網絡罪犯會因為SpyNote的輕松易得而開始作惡。現在,Palo Alto Networks AutoFocus的用戶可使用SpyNote tag 來對該木馬進行甄別。
京公網安備 11010502049343號