“冠状病毒”引发的移动安全事件

Le想安全 · 公众号 · · 2020-02-25 12:01

正文

文章来源：暗影实验室（微信号：Eversec_Lab）

导读： 武汉冠状病毒爆发及蔓延引发人们对全球公共卫生危机的广泛担忧，威胁行为者利用人类的恐惧情感——尤其是当一个全球性事件已经造成了恐惧和恐慌的时候进行网络犯罪。检测发现了一个以“Coronavirus”命名的应用。而“Coronavirus”翻译过来就是冠状病毒的意思。威胁行为者通过将应用命名成与武汉冠状病毒相关的名字有利于博取用户的关注从而增加病毒传播感染的机率。

从Coronavirus的行为上来看，该恶意软件属于木马类病毒且具备较为详尽的窃取用户信息的功能，可定期从服务器更新加载恶意代码。除此之外该病毒还具备使用Teamviewer实现远程控制安卓设备的功能。

图1.1 应用图标

一、 Coronavirus 的加载方式

通过两次动态加载恶意代码的方式来完成恶意行为的执行：

(1)通过解析解密Asset目录下的json文件加载恶意代码第一阶段加载有效负荷：

请求开启可访问性服务（可以自动进行各种 UI 交互并模拟用户点击屏幕上的项目）。监听处理用户点击事件，以下部分行为是通过该项服务配合完成。

图2-1 遍历节点

从服务器下载恶意代码并配置参数设置（作为第二阶段恶意代码动态调用的参数传入。）

图2-2 第二阶段加载恶意代码的参数配置

使用Teamviewer实现远程控制安卓设备。

图2-3 远程控制安卓设备

(2)从服务器动态获取恶意代码动态加载调用，服务器地址： http://k**ll.ug/。

第二阶段加载有效负荷：

图2-4 从服务器获取恶意代码

(3)解析第一阶段配置的参数信息(指令)执行窃取用户隐私信息、发送短信、呼叫转移等操作，并将窃取的隐私信息上传至服务器： http://k**ll.ug/。

表2-1指令列表

指令	行为
grabbing_lockpattern	截取锁屏（如用户在输入解锁密码或手势时截取屏幕）
request_permission	请求敏感权限
run_admin_device	运行设备管理器
URL	查看网页
ussd	拨打USSD向网络发送一条指令，网络根据你的指令选择你需要的服务提供给你
get_data_logs	获取并保存已安装应用信息、联系人信息、短信信息
grabbing_google_authenticator2	截取google二次验证输入的信息
notification	设置消息通知图标、标题、内容、样式并发送。
grabbing_pass_gmail	截取gmail信息
remove_app	防止卸载应用
remove_bot	移除机器人
send_sms	发送短信
run_app	运行更新的应用
call_forward	呼叫转移，将来电转移到指定号码
patch_update	补丁更新
run_injects_emails	获取注入的电子邮件页面的账号密码信息
run_injects_banks	获取注入的银行页面的账号密码信息