首款集勒索、间谍、银行木马于一体的新型综合型Android病毒深度分析

颁布功夫 2018-09-21

一、简述

GA黄金甲ADLab近期发现一款集勒索加密病毒、间谍软件、银行木马于一体的新型Android恶意代码,其实现了如加密勒索（Ransomware）、键盘纪录（keylogger）、远程接见木马（RAT）、短信拦截、呼叫转移和锁定屏幕等多种职能。
具体分析该恶意代码后发现，该恶意代码新变种可劫持险些涵盖全世界各大金融机构的手机APP，总数有300多个，涉及中国、美国、英国、日本、中国香港、法国等40多个国度和地域。该恶意代码还拥有勒索软件的职能，会使用256位对称密钥对受害用户的手机文件进行加密处置，并且以“.AnubisCrypt”作为加密文件的扩大名，同时还伪造了FBI忠告界面通知受害用户以比特币的方式支付罚金方可对文件进行解密。另表，它还可能被用于进行网络间谍活动，例如：监督受习染设备主窗口活动、进行屏幕截图并发送给攻击者、使用内置麦克风监听受习染设备周围环境中的声音等等。

二、恶意代码发现

2018年8月底，GA黄金甲ADLab监测到一个当月新注册的异常Twitter账户，该账户在Twitter上颁布了一些类似用base64编码的推文。其2018年8月27日颁布了两条似乎齐全一样的推文，并且在我们发现当天，又陆续颁布两条分歧的推文（见图1）。

图1 可疑Twitter账户推文

我们通过base64解码这些推文后，依然看不到任何有意思的数据。因而，我们通过该Twitter链接“https://twitter.com/sHybzhzZWJgdbdj”来做关联分析，并且发现了一些可疑的apk文件，通过度析确认该apk文件为Android平台下一款风险性极大的恶意APP，并且目前还处于活跃状态。通过深刻分析我们发现，该恶意APP会衔接该Twitter链接“https://twitter.com/sHybzhzZWJgdbdj”获取推文，并将其解密成为C&C地址，其解密算法仿照了base64的成效，但并非为base64算法，以此蛊惑发现异常推文的分析人员。解密后的字符串如表1所示：

表1 推文的解密

一向到9月2日，黑客删除了其中的3条推文，只留下最近的一条推文（见图2）。注明利用该恶意代码进行的网络攻击活动在进行。

图2 攻击者的推文只剩下一条C&C

我们把稳到，该Twitter账户使用了被称为“全世界最大的骗子”的俄罗斯金融诳骗犯Sergei Mavrodi的照片作为图像，揣摩攻击者很可能是Sergei Mavrodi的粉丝。Sergei Mavrodi（1955年8月11日- 2018年3月26日）生于莫斯科，1989年成立了MMM公司，MMM宣称以粉碎世界不公正的金融系统为指标，现实上是玩了一个“公共集资”的庞氏圈套游戏。国内的e租宝、钱宝网等也都被认定是庞氏圈套。在Sergei Mavrodi和其MMM公司将俄罗斯险些能骗的人都骗完了之后，2015年Sergei Mavrodi将他的游戏带入了中国，并且为了躲避监管，Sergei Mavrodi团队“创新地”将比特币支付引入了其支付系统，激励投资者使用比特币进行转账买卖，并为此专门造作了比特币扫盲视频，见图3。

图3 Sergei Mavrodi团队造作的比特币扫盲视频

三、样本演化

凭据样本关联分析，我们发现该恶意代码样本为Anubis的一个新变种。

2017年1月，安全公司Dr.Web曾发出忠告，银行木马BankBot的源代码被公开颁布在了一个论坛上。随后，有网络犯罪分子利用该源码创建了安卓银行木马Android.BankBot.149.origin，彼时的BankBot还仅是一个典型的银行木马，可能利用网络垂钓对话框窃取习染用户手机银行的敏感信息，如银行具体信息和信誉卡数据。

2018年3月5日，PhishLabs发现了银行木马BankBot的一个新变种，并第一次将其定名为Anubis，Anubis同样基于BankBot源码开发，并整合了多多分歧类型恶意软件的职能于一身。

2018年7月，IBM X-Force的移动恶意软件钻研人员观察到了大量的Android恶意软件下载器被上传到了Google Play。这些恶意软件下载器会在受习染设备上装置Anubis。这批注一个特定的恶意软件分销商已经从使用Marcher转向了分发Anubis。

四、职能介绍

Anubis新变种整合了多种类型恶意软件职能于一身，图4是其职能示意图，该变种蕴含勒索软件职能、键盘纪录职能、RAT职能、短信拦截职能和呼叫转移职能等。同时，Anubis还能够窃取受害用户的通讯录、短信等敏感信息。此表，攻击者还能够远程节造受习染设备，利用受习染设备向攻击者指定的指标发送特定短信。不难设想，攻击者齐全能够对受害者的社交网络进行全方位渗入和诓骗。

图4 Anubis职能示意图

图5是我们抓取到的该恶意代码变种和C&C服务器通讯的数据包，从图中能够看出，该变种使用http和谈和C&C服务器进行通讯，通讯数据被加密处置后进行传输。我们利用分析出的解密算法对图中加密数据进行解密，别离得到“aa5193bdfeb39625:(CHINA MOBILE):4.4.4:cn::AOSP on HammerHead (aosp_hammerhead):V::0:0:”和“|OK|”，很显然是一个木顿时线包。

图5 C&C上线包

C&C号令和其附加数据选取同样的加密规划传输，我们将该恶意代码变种蕴含的重要C&C号令及其寓意综合到了表2：

表2 重要的C&C号令和职能

五、典型行为分析

5.1、窃取受害者银行账户凭证

Anubis监督指标利用法式启动，而后使用对应的垂钓屏幕覆盖掉合法的利用法式以窃取受害者的账户凭证（见图6和图7），同时会利用短信拦截职能来拦截银行发送给受害者的所有短信（见图8），这样攻击者就绕过了银行的双层身份认证，成功对受害者的财富进行洗劫。

图6 加载垂钓页面的代码

Anubis伪造的垂钓页面：

图7 伪造的垂钓页面

恶意代码将自身设置成默认短信利用，拦截用户短信：

图8 拦截用户短信

攻击者的劫持指标险些涵盖全世界各大金融机构的手机APP，总数达到了300多个，涉及中国、美国、英国、日本、中国香港、法国等40多个国度和地域，部门指标金融APP的包名见表3：

表3 部门指标金融APP

5.2、加密受习染设备文件，对受害者进行勒索

分歧于常见的只是单一不容受害者接见手机界面的锁定屏幕的勒索软件，Anubis对受害用户的文件进行了加密，加密的目录蕴含“/mnt”、“/mount”、“/sdcard”、“/storage”以及用户的内涵存储卡目录，见图9。

图9 加密的文件目录

Anubis的�？槭褂�256位对称密钥对文件进行加密处置，并以“.AnubisCrypt”作为加密文件的扩大名，见图10。

图10 加密操作

在实现文件加密后，Anubis会加载其锁定页面（图11），提醒受害用户的手机已经被锁定并且文件被加密，必要受害用户支付比特币方可对文件进行解密。

图11 加载锁定页面

锁定页面htmllocker是从远程服务器动态获取到的并保留在其配置文件set.xml中，如图12，我们能够看到FBI WARNING的勒索信息：奉告受害用户的手机被锁定，并且所有的文件被加密，用户的数据将会被传送到FBI，除非受害用户支付罚金方可解密。

GA黄金甲·(中国区)官方网站

图12 配置文件中的锁定页面代码

图13是htmllocker代码加载后的页面，该页面做的相当真切，在“FBI WARNING”文字上方是“FBI”的LOGO ，下方即是图12配置文件中的那一段勒索信息。

图13 锁定页面

5.3、利用设备拨号利用执行USSD号令

USSD为GSM系统所使用的一种通讯和谈，用户能够通过手机拨号法式输入特定的指令获得系统服务商提供的服务，好比查问预付卡余额等，也能够用于查问手机内部信息，如“*#06#”能够查问手机的IMEI码。也有部拜别机厂商使用自界说的USSD指令敌手机做特殊的设定或操作，例如将手机复原为出厂设置，开启手机的工程模式等。

该变种利用受习染设备的拨号法式来执行远程服务器传来的指令，从图14中我们能够看到，攻击者首先打开拨号法式，而后输入从C&C获取到的恶意指令，分歧的指令对应分歧的职能。不排除攻击者对受习染设备复原出厂模式或者恶意体式化受习染设备存储卡等可能性。

图14 利用设备拨号利用执行USSD号令

5.4、设置呼叫转接

设置受习染设备的呼叫转接号码为攻击者远程指定的手机号码（见图15）。攻击者首先打开受习染设备的拨号法式，而后通过输入“*21*手机号码#”对受习染设备设置呼叫转接。这样，攻击者就能够成功拦截受害用户的手机来电，并且能够利用此职能对受害用户进行诓骗。

图15 设置呼叫转接

六、建议

建议用户不要等闲点击短信中的不明链接，不要装置不明起源的APP。对申请可疑权限尤其是短信读写、打电话以及必要激活设备治理器的APP要出格注意，涉及到金钱的操作要格表审慎。遇到操作异常，该当实时使用杀毒软件查杀或找专人处置。目前互联网上也充溢着形形容色的第三方APP下载站点，好多甚至成了恶意利用的批发集散地。用户应出格注意不应等闲的在一些下载站点下载APP，尽量从官网下载所需APP利用，在不得不从第三方下载站点下载软件时，要高度维持警惕，当真甄别，预防误下恶意利用，给自己造成不用要的麻烦和损失。

参考链接：
https://securityintelligence.com/anubis-strikes-again-mobile-malware-continues-to-plague-users-in-official-app-stores/

https://blogs.quickheal.com/android-malware-combines-banking-trojan-keylogger-ransomware-one-package/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

首款集勒索、间谍、银行木马于一体的新型综合型Android病毒深度分析

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线