“Adobe Flash Player” 木马惊现新变种

最近暗影安全实验室在日常监测中发现了一款新的木马病毒Ginp，虽然他和前两周发布的反间谍之旅004报告中描述的“Flash Player”木马病毒名称很相似都带有“Flash Player”,但是他们却属于不同病毒家族。

该恶意软件的最初版本可以追溯到2019年6月初，它伪装成“Google Play Verificator”应用程序。当时，Ginp是一个简单的短信窃取器，其目的只是将用户手机接收和发出的短信副本发送到C2服务器。

在2019年8月，一个新版本发布了，增加了银行木马特有的功能。这个恶意软件被伪装成假冒的“AdobeFlash Player”应用程序，恶意软件代码增强了反混淆能力。Ginp较前两周发布的“Flash Player”木马病毒相比除了具有木马病毒惯用的远控获取用户联系人列表、短信列表等隐私信息的特性外，还通过注册易访问性服务监控用户设备，自动授权应用敏感权限，加载网页覆盖特定应用程序页面，目的是窃取登录凭证信息。

样本MD5：

1EA4002F712DE0D9685D3618BA2D0A13

程序名称： Adobe FlashPlayer

程序包名： solution.rail.forward

安装图标：

一旦用户授予请求的可访问性服务特权，Ginp首先自动授予自己额外的权限，以便能够执行某些敏感的高权限操作，而不需要受害者的任何进一步操作。完成后，恶意程序就可以正常工作了，可以接收命令并执行覆盖攻击。

检测配置信息，并将信息发送至服务器。以方便控制端根据配置信息来判断可以在受害者机器上执行哪些操作。

监控服务器响应状态，获取C2服务器下发的指令，窃取用户联系人列表、短信列表等信息。发送指定短信内容到指定联系人，目的是传播恶意软件。

图2-2 获取C2服务器指令

指令列表：

表2-1 指令列表

通过可访问性服务AccessibilityService，监控用户设备操作事件。

图2-3 监控用户设备

执行以下操作 :

（1）更新应用列表，自动下载安装软件：从服务器获取需要下载的应用链接、下载应用并打开安装界面，当监测到系统弹出安装界面时，遍历节点，通过perforAcmtion执行点击同意授权。

图2-4 请求安装界面

图2-5 自动授权、安装软件

（3）自我保护，防止被删除：当监测到用户打开的界面包含“force”强制停止、“app info”应用列表时，程序退出到HOME界面，所以用户无法通过查看应用列表卸载该软件。

图2-6 打开HOME界面

（4）覆盖攻击：监测用户打开的应用，从服务器获取网页覆盖目标应用，该服务器模拟真实的应用程序页面进行覆盖，以窃取用户登录凭证。

图2-7 覆盖目标应用

目标软件：

● Google Play

● Facebook

● Instagram

● Whatsapp

● Chrome

● Skype

● Twitter

● Snapchat

下面的截图显示了在覆盖攻击时收集了什么类型的信息:

图2-8 覆盖攻击网页

设置恶意软件为默认短信应用程序。监控用户短信收发情况。

图2-9 监听用户短信

三、服务器地址

表3-1 服务器地址