“安全服务”木马分析报告

2017年08月01日原文

1. “安全服务”木马软件介绍

该木马通过仿冒安全软件诱导用户下载以及安装运行，之后会在用户手机生成多个伪装正常应用的图标，当用户点击对应的图标时，如果手机存在对应的应用，则会打开正常应用，否者就会隐藏该图标;之后病毒会在用户未知的情况下私自获取用户短信、通话记录、联系人等信息，并发送到指定的URL，同时会接收远程指令，执行指定的恶意操作。

2. “安全服务”木马工作流程

安装该木马病毒启动后在手机桌面创建多个不同名称的应用图标，图标的入口对应正常的应用程序，从而达到伪装的目的，当用户手机网络状态发生改变例如从无线网换到4G网时，该病毒接收到此广播后获取隐私并将隐私信息打包成logs.zip存放在SD卡的根目录中并发送到指定的URL，或当用户手机接收到手机尾号为8358的短信后也会将隐私发送到指定RUL，如图2-1所示。

图2-1 “安全服务”木马病毒运行流程

3. “安全服务”木马技术原理

3.1 基本信息

样本MD5：D95AEE19A0987D9CFE30F84C84A8950C

软件名称：Freeme Security Service

软件包名：com.***.***.service

3.2 伪装技术

该款病毒与以往病毒的伪装技术类似，通过“freeme security service”伪装成手机系统安全服务软件，诱导用户下载安装。

图3-1 伪装图标示例

3.3 多个应用图标技术

首先在AndroidMainfest文件中注册多个主程序入口即多个activity-alias标签，通过给android:icon属性设置不同的背景图片从而实现手机安装后出现多个应用图标，在病毒程序中将正常应用程序的包名存放在SQLlite中，当用户安装后程序查询SQLlite中的包名并赋值到对应的主程序入口，通过startActivity的方法启动对应的正常应用程序。在用户点击图标后如果手机中未安装对应的应用程序，该病毒首先会将该包名从SQLlite中删除并用则隐藏该应用图标如图3-2。

图3-2 木马病毒安装效果图

木马病毒在AndroidMainfest注册多入口标签，从而在用户安装之后，会出现多个图表，具体代码如图3-3

图3-3 木马病毒注册多入口标签

木马会将正常程序的包名存放到SQLlite中，当用户点击图标时，如果用户已经手机上存在该图表对应的应用，则会打开该应用，当不存在时，则会自动隐藏该图标，同时删除数据库中该图表对应应用的信息，达到隐藏自身的目的，具体代码如图3-4、图3-5、图3-6所示

图3-4 存放正常程序的包名

图3-5 配置程序入口并启动正常应用

如果手机中未安装对应的程序则在SQLlite中删除对应的包名(如图3-6)

图3-6 在SQLlite中删除入口

当木马病毒再次启动时查询SQLlite中剩余的包名并赋值到对应的程序主入口，如图3-7、图3-8所示。

图3-7 再次启动时查询SQLlite

图3-8 再次启动时查询SQLlite

3.4 获取隐私打包

该病毒私自获取获取短信、联系人、通话记录信息存储在log文件中，并进行打包，具体代码如图3-9、图3-10、图3-11所示。

图3-9 获取联系人信息

图3-10 获取通话记录信息

图3-11 获取短信内容

将获取的隐私信息封装到logs文件内，如图3-12所示

图3-12 将隐私信息封装到logs文件内

将logs文件打包成zip格式如图3-13、图3-14所示

图3-13 将logs文件打包成zip格式

图3-14 将logs文件打包成zip格式

3.5 远程控制技术

3.5.1 接收网络状态变化广播实现远程控制技术

木马会私自监听用户手机网络状态，当手机网络状态发生改变时，会私自获取用户隐私信息并发送到黑客服务器，如图3-15、图3-16所示。

图3-15 判断是否需要上传信息

图3-16 监听网络状态并发送隐私信息

3.5.2 监听短信接收广播拦截用户的短信实现远程控制技术

该病毒私自拦截用户接收短信，通过解析短信号码和内容获取远控指令，并根据短信指令执行发送用户隐私到指定地址，如图3-17、图3-18、图3-19所示

图3-17 接收短信广播

图3-18 判断是否是黑客发送的指令

图3-19 执行窃取隐私操作

3.5.3 通过Socket实时通讯将隐私信息发送到指定服务器技术

将获取到的信息发送到指定的服务器，如图3-20所示。

服务器地址：http://***/lapi/thief

图3-20 发送隐私信息

Socket实时通讯技术的实现，如图3-21、图3-22

图3-21 Socket实时通讯技术的实现

图3-22 接收服务器指令

4. 溯源分析

4.1 溯源流程

黑客溯源主要是通过提木马病毒中相关联的信息，包括上传隐私地址及下载地址等信息，通过对以上信息进行数据过滤和筛选，之后对筛选的数据进行网络追踪，已达到定位具体黑客，从源头打击的目的。

具体溯源流程如图4-1所示。

图4-1 溯源流程

4.2 溯源详情

4.2.1 上传隐私地址溯源

通过分病毒代码得到起上传隐私地址，如图4-2所示

服务器地址：http://***/lapi/thief

图4-2 上传地址

通过域名查到起IP为：58.***.***.57 其地址为上海电信

图4-3 服务器所在IP地址

通过IP及域名查到起注册邮箱、注册人、注册时间、注册商、公司名称等信息，如图4-4、图4-5、图4-6所示。

图4-4 域名反查信息

图4-5 域名备案信息

通过其公司名称查到起公司地址、法定人等信息，如图4-6所示

图4-6 公司名称反查信息

4.2.2 下载地址溯源

该病毒样本的下载地址为：http://***/***.apk

通过WHOIS查询下载地址得到注册邮箱及注册人如图4-7、图4-8所示

图4-7 下载地址WHOIS查询

图4-8 域名备案查询

根据对比上传隐私地址反查结果得知为同一人注册

4.3 溯源总结

通过从上传隐私地址以及下载地址的溯源，我们可以发现其域名是相同的，也从侧面认证了了该软件是在放马人自己的服务器上进行传播，同时使用自己的服务器接收用户隐私。通过对域名的WHOIS、备案等信息的查询，可以发现该软件的嫌疑人信息如下。

名称：上海***有限公司

注册地址：上海市***室

5. 防范及处置建议

安全从自身做起，建议用户在下载软件时，到针对的应用商店进行下载正版软件，避免从论坛等下载软件，可以有效的减少该类病毒的侵害;

安全需要做到防患于未然，可以使用恒安嘉新的APP威胁检测与态势分析平台进行分析对Android样本提取信息并进行关联分析和检测。