文章来源:暗影实验室(微信号:Eversec_Lab)
导读:
武汉冠状病毒的爆发成为各领域威胁行为者利用其进行投放攻击的热点。从PC端的巴西某黑产利用疫情相关视频暗地里安装银行木马、Emotet通过分发附有日本冠状病毒患者报道的电子邮件传播恶意病毒到移动端的攻击者通过冠状病毒应用名称诱导用户安装监控软件无不渗透者冠状病毒这个话题。
继前两周发布的“冠状病毒”引发的移动安全事件报告中提到的“Coronavirus”监控木马。最近在日常监控中又发现了一款名为“Corona1”的应用,该应用安装启动后会隐藏自身图标,并诱导用户安装一款应名为“Coronavirus”(中文名为冠状病毒)的应用,该应用并不具有恶意行为,猜测攻击者利用冠状病毒热点诱导用户安装该应用只是为了掩盖“Corona1”执行恶意行为,使用户难以察觉真正的毒爪。在用户未知情况下,该应用通过手机连接的局域网对用户手机进行远程控制,执行多达70余条不同功能的远控指令。不仅如此,该程序还会从局域网的控制端下发新的C2服务器地址,在用户手机断开局域网后,可以使用新的C2服务器继续操控用户手机,以达到持续控制用户手机的目的。
一、样本信息
包名:
system.operating.dominance.proj
文件MD5:
E5E97B95D4CA49D2F558169851AF5EEC
该程序的运行流程较简单,应用安装启动后会获取root权限、请求敏感权限。接着开启线程socket连接服务器,下发命令上传用户隐私数据。与此同时诱导用户安装Coronavirus应用。
图1-1 运行流程图
二、技术原理
程序启动后通过执行cmd命令获取root权限,目的是在用户不知情的情况下静默安装Coronavirus应用或执行高权限行为。如果获取root权限成功,则进行静默安装否则进行普通安装。
图2-1 获取root权限
Coronavirus应用是由AppsGeyser平台快速打包的应用,并不具有疫情相关功能。安装目的是掩护“Corona1”执行恶意行为以及弹广告。这样即使用户卸载该程序也不影响真正恶意软件的运行。
三、远程控制
该应用程序采用的是socket通信。
客户端连接IP为192.168.**.**,端口号为2222。
通过socket连接下发指令以及上传用户信息。
图2-3 连接服务器
四、指令列表
|
指令
|
对应操作
|
指令
|
对应操作
|
|
A0
|
上传设备ID、IP、系统版本、手机型号等
|
A37
|
设置响铃模式为普通模式等
|
|
A1
|
上传通话号码,号码对应的通讯录中名称,电话类型,时间,持续时间等
|
A38
|
设置响铃模式为静音等
|
|
A2
|
上传已安装应用图标信息等
|
A39
|
设置响铃模式为震动等
|
|
A3
|
上传手机号码和固件信息等
|
A40
|
设置重启wifi等
|
|
A4
|
上传地理位置信息等
|
A41
|
设置音频音量(响铃)等
|
|
A5
|
上传指定类型的短信的短信号码、通信人名称(通讯录中)、日期、内容等
|
A42
|
设置音频音量(音乐)等
|
|
A6
|
上传通讯录信息等
|
A43
|
设置音频音量(通知)等
|
|
A7
|
上传扫描到的wifi列表信息等
|
A44
|
设置系统声音音量等
|
|
A8
|
上传运行的进程信息等
|
A45
|
访问指定网页等
|
|
A9
|
上传壁纸信息等
|
A46
|
webview加载指定url等
|
|
A10
|
将指定路径文件写到指定位置,并删除原文件等
|
A47
|
设置闪光灯模式,开启拍照预览等
|
|
A11
|
上传电话录音路径和对应的通话号码等
|
A48
|
设置闪光灯模式,关闭拍照预览等
|
|
A12
|
如果当前应用有通知权限则上传odNotice.txt文件内容,如果没有通知权限则跳转到通知权限设置界面等
|
A49
|
设置手机震动指定时间长等
|
|
A13
|
上传屏幕亮度设置、锁屏设置、音量设置、响铃模式、联网信息等
|
A50
|
插入联系人到通讯录等
|
|
A14
|
启动指定Activity等
|
A51
|
在odNotice.txt中写入空值等
|
|
A15
|
卸载指定应用
|
A52
|
关闭指定组件的后台进程等
|
|
A16
|
删除通讯录中指定联系人等
|
A53
|
在指定文件中写入指定内容等
|
|
A17
|
返回到Home界面
|
A54
|
对指定文件重命名等
|
|
A18
|
打开拨号界面
|
A55
|
操作Tel.txt,控制电话录音等
|
|
A19
|
拨打指定电话号码等
|
A56
|
发送短信等
|
|
A20
|
上传剪贴板内容等
|
A57
|
删除指定电话号码的通话记录等
|
|
A21
|
设置剪贴板中内容等
|
A58
|
屏幕亮度相关设置等
|
|
A22
|
上传账户信息等
|
A59
|
上传手机是否root、执行截屏、录屏、安装指定应用等
|
|
A23
|
上传浏览器书签等
|
A60
|
上传指定文件的字节流编码后内容等
|
|
A24
|
下载指定文件到指定位置等
|
A61
|
判断指定文件夹是否存在,不存在则新建等
|
|
A25
|
上传指定文件夹下文件列表等
|
A62
|
判断指定文件是否存在,不存在则新建等
|
|
A26
|
打开指定类型的指定文件等
|
A63
|
退出程序等
|
|
A27
|
删除指定文件等
|
A64
|
卸载当前应用等
|
|
A28
|
上传指定文件内容等
|
A65
|
拍照并上传等
|
|
A29
|
录音,保存到指定位置等
|
A66
|
将指定文件写入指定位置等
|
|
A30
|
停止录音,上传录音文件并删除原文件等
|
A67
|
无
|
|
A31
|
设置指定内容的Toast通知等
|
A68
|
播放指定多媒体文件等
|
|
A32
|
设置屏幕休眠时间
|
A69
|
设置指定壁纸等
|
|
A33
|
