FreeBuf首发专业认证:Android Cerberus恶意样本分析-ODAILY

AndroidCerberus恶意样本分析恶意样本特征流程概览内存解密新dex地区白名单隐藏图标定时触发保活广播计步机制触发与C2服务器通信更新攻击命令忽略电池优化窃听短信消息激活设备管理员启动后台服务诱导启用无障碍服务请求窃听短信所需的权限启动设备锁更新辅助服务状态到payload无障碍服务木马传播机制总结参考文章

AndroidCerberus恶意样本分析

前段时间网上流传Android平台Cerberus木马家族出现了新的变种,在网上找了一番没有找到新变种的木马样本反而找到了2019年6月披露的一批样本,这里挑选了其中一个样本深入的分析下看看Cerberus木马的工作机制。

Cerberus木马的详细介绍可以阅读之前发的文章:https://mp.weixin.qq.com/s/UewBO4RgTlh9vBKzqYXEcQ

恶意样本特征

样本名称:FlashPlayer

应用包名:com.uxlgtsvfdc.zipvwntdy

SHA-256:728a6ea44aab94a2d0ebbccbf0c1b4a93fbd9efa8813c19a88d368d6a46b4f4f

流程概览

恶意样本的执行流程大概如下:

Coinbase Wallet推出Polygon网络Gas-free USDC转账活动:5月31日消息,Coinbase Wallet 宣布推出 Gas-free USDC 转账活动,在 Polygon 发送 USDC 无需支付网络费用,用户可体验即时支付,不受跨境转账限制。[2023/5/31 11:49:58]

内存解密新dex

Android应用程序必须在AndroidManifest.xml文件中声明其使用的服务、广播接收器和活动组件才能使用它们。在反编译Cerberus恶意样本中很明显能看到其使用的服务、广播接收器和活动等组件并不在主dex文件中,所以这里基本可以判断其核心dex文件是在内存中动态解密的。

地区白名单

恶意样本在解密释放新的dex文件后判断当前感染者所在国是否在白名单中,如果在白名单中则不执行恶意行为。

白名单国家名单有:乌克兰、俄罗斯、白俄罗斯、塔吉克斯坦、乌兹别克斯坦、土库曼斯坦、阿塞拜疆、亚美尼亚、哈萨克斯坦、吉尔吉斯斯坦、摩尔多瓦等。

安全团队:New free dao攻击者利用闪电贷反复领取空投奖励,获利约4481枚WBNB:9月8日消息,据Beosin EagleEye平台监测显示,New free dao项目遭受黑客攻击,损失约4481.3 WBNB(约125万美元)。Beosin安全团队分析发现攻击者首先利用闪电贷借出WBNB,将其全部换成NFD代币。然后利用攻击合约反复创建多个攻击合约领取(0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e)空投奖励,最后将其兑换为WBNB归还闪电贷套利离场。目前攻击者已将获利的 2000BNB 兑换成55.6w USDT,将其与剩余的2,481BNB均存在攻击者地址上。Beosin trace正在对被盗资金进行实时监控和追踪。[2022/9/8 13:16:48]

隐藏图标

如果感染者不在白名单国家则恶意软件将进一步执行,其通过禁用入口组件来实现隐藏图标使其在手机桌面上不可见来规避感染者卸载恶意应用。

质押平台Freeway已恢复FWT充提服务:7月17日消息,质押平台Freeway发推称,Freeway平台已经恢复FWT充值和提现功能。FWT购买功能暂时被禁用,但应该很快就会恢复。平台上FWT价格仍然锁定在0.008美元。

据此前报道,Freeway发推称,其代币FWT价格在7月13日发生剧烈波动,正在调查当中。Freeway的区块链桥接服务提供商Coffe遭到攻击,大量FWT代币从Coffe的桥接钱包中移除,随后被出售。Freeway确认其平台没有受到任何损害,Supercharger也不受影响。但在调查期间,Freeway暂时禁用平台上的FWT充值、提现和购买服务。[2022/7/17 2:18:50]

定时触发保活广播

恶意软件通过在清单文件中注册高频的系统广播事件以及定时让系统时钟发送自身广播事件实现了一个简单的保活机制使其能持续的活动在系统中。

声音 | Fred Wilson:2019年加密货币将不再是安全的避风港:据cointelegraph报道,美国风险投资家和商人Fred Wilson最近在题为“2019年会发生什么”的博客文章中表示,他不认为加密货币在2019年还会是一个安全的避风港。根据Wilson的说法,2019年稳定币将获得重大进展和消费者采用。Wilson担心误入歧途的监管机构将采取的行动,他们或将瞄准高质量的项目并伤害他们。加密行业将继续经历、黑客攻击、项目失败以及失去投资,这些都可能会拖累这个行业。[2019/1/2]

计步机制触发与C2服务器通信

在保活广播接收器组件中,实现了一个简单的计步器来触发木马与C2服务器的通信。

更新攻击命令

计步数量达到阀值后,启动HBOxMrf木马服务拉取C2服务器的攻击命令,C&C服务器地址为:http://94.156.77.32/gate.php目前服务已经无法正常访问。

客户端与C2服务器交互流程如下:

1.首先拉取C2服务器下发的攻击命令。

印度前移动支付巨头FreeCharge创始人Kunal Shah近日以顾问身份加入CNN Platform区块链项目:印度前移动支付巨头FreeCharge创始人Kunal Shah近日以顾问身份加入CNN Platform区块链项目。此前,CNN Token刚与印度排名第一的新闻应用NewsDog达成战略合作,共同打造数字内容生态系统。[2018/2/5]

忽略电池优化

Cerberus木马除了定时触发保活广播,还通过将自己加入电池优化白名单中来增强持续在系统中执行恶意活动的可能。

窃听短信消息

保活广播接收器同时也在接收短信消息类型的系统广播,当收到此类型广播时则读取出短信内容和发信人并保存到配置文件中,为后续执行恶意活动窃取短信消息做准备。

激活设备管理员

Cerberus木马除了通过隐藏图标的方式防止感染者卸载自身外,还通过激活设备管理员权限来防止感染者卸载自身,同时也为了防止其他安全软件查杀卸载Cerberus木马。

启动后台服务

诱导启用无障碍服务

Cerberus木马的所有敏感操作都严重依赖于无障碍服务的启用,其通过循环拉起“启用无障碍服务界面”来诱导感染者对其进行无障碍服务授权。

请求窃听短信所需的权限

请求窃取短信消息和联系人所需的权限。

启动设备锁

根据lockDevice标记执行设备锁操作。

更新辅助服务状态到payload

无障碍服务

无障碍服务启用后通过监控界面元素,模拟点击界面授权按钮来完成权限的自我授权和设备管理员的激活操作。同时监控界面活动是否正在进行安全扫描、是否正在卸载恶意软件来避免木马被查杀和卸载。包括监控界面是否打开目标活动,将其通知给payload完成界面劫持攻击操作。

在无障碍服务中模拟点击激活按钮,完成激活设备管理员防止被用户卸载,也为后续锁定设备提供权限支撑。

监控界面是否在GooglePlay保护机制扫描界面,如果是则发送回退事件防止被查杀。

监控当前前台活动发送到payload执行相关攻击操作。

木马传播机制

Cerberus木马的作者曾在Twitter上表明,其传播采用钓鱼网站以FlashPlayer的形式进行传播来诱导用户下载安装恶意木马。建议用户在网站下载应用时应特别注意网站的真实性和安全性避免被钓鱼或劫持攻击。

总结

Cerberus恶意木马通过字符串混淆、执行流混淆、动态加载代码、动态解密字符串和实现了一个简单的计步器机制来对抗安全人员的分析工作。同时利用了Android无障碍服务的屏幕监控功能,通过监控手机屏幕内容的改变事件,模拟点击危险权限授权按钮进行自我授权、监控用户的安全扫描和卸载行为进行自我保护以及监控前台应用活动界面完成对目标的劫持攻击。

对于本次分析遗憾的是由于C2服务器的关闭导致无法获取到核心的payload代码和相关恶意指令,从而无法进行更加全面的分析木马的攻击机制。但payload想要完成攻击终究还是依赖于无障碍服务的启用,我相信Cerberus木马家族的新变种也会依赖于该功能,所以建议在日常使用Android设备时应谨慎启用设置中的无障碍服务开关。

Cerberus仍是目前较为活跃的Android平台新型木马,其作者通过租赁的方式进行盈利,同时在黑市和Twitter上宣传木马内容从而吸引恶意活动参与者购买此木马。

此类木马危害极大,普通用户在下载相关软件时请首先确认网站的真实性,确保软件来源的可靠性防止被钓鱼攻击下载到此类恶意软件。

参考文章

https://www.threatfabric.com/

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

ICPHarmony公开抵押的官方指南-ODAILY

Harmony是第一个完全分片的产品级PoS主网。在Harmony主网中的4个分片中,每8秒生成一次区块,并能在2个区块时间内完成跨分片交易。Harmony的有效权益证明是分片区块链中的首个可同时实现安全性和去中心化的抵押机制.

[0:0ms0-2:273ms