1.概述

[[343041]]

近日我們在恒安嘉新態勢感知平臺上監測到一款仿冒韓國音樂應用的病毒樣本。經過安全研究人員分析，發現該應用在用戶不知情的情況下，竊取用戶設備短信、聯系人、設備信息等敏感數據，之后便隱藏圖標保持后臺長時間運行。

 

 

圖1-1 態勢感知平臺監測到的樣本信息

2.詳細分析

2.1請求敏感權限

(1)該應用整體運行過程并不復雜，應用啟動后便通過第三方SDK(yanzhenjie)來請求敏感權限。

 

 

圖1-2 利用第三方接口請求敏感權限

(2)yanzhenjie是第三方開源庫，主要用于實現動態請求權限。

 

 

圖1-3 第三方SDK包信息

2.2Binder機制處理消息

(1)啟動主服務，通過binder機制發送消息：

 

 

圖1-4 發送消息

 

 

圖1-5 處理消息

(2)循環處理消息，依次執行獲取并上傳用戶設備聯系人、短信、設備等信息任務。

 

 

圖1-6 循環處理任務

2.3服務器通信

(1)連接服務器：上傳用戶手機號、imei、設備類型等信息。

 

 

圖1-7 上傳用戶設備信息

 

 

圖1-8 抓包數據

(2)在與服務器通信之前惡意軟件會先檢測網絡狀態：

 

 

圖1-9 監測網絡連接狀態

(3)若用戶手機設備沒有連網，獲取設備APN類型(網絡接入點)。

 

 

圖1-10 硬編碼的APN類型

 

 

圖1-11 獲取APN類型

(4)根據手機APN類型設置代理進行通信：

 

 

圖1-12 設置代理進行通信

(5)若用戶設備已連網則通過http協議進行通信：

 

 

圖1-13連網通信

 

 

圖1-14 向服務器發送請求

2.4竊取隱私信息

(1)注冊短信接收廣播，獲取用戶短信息。

 

 

圖1-15 獲取用戶接收的短信息

將獲取的短信信轉換為json格式發送至服務器：

 

 

圖1-16 發送的短信數據包

(2)通過binder消息機制，執行獲取聯系人信息任務并發送至服務器：

 

 

圖1-17 獲取用戶聯系人信息

 

 

圖1-18 發送聯系人數據包

(3)通過數據庫查找獲取用戶設備短信箱信息并發送至服務器：

 

 

圖1-19 獲取用戶短信箱信息

(4)獲取用戶設備照片信息并發送至服務器，但代碼內并未調用：

 

 

 

 

圖1-20 獲取照片信息并發送至服務器

惡意軟件打印的日志信息包含了大量用戶敏感信息：

 

 

圖1-21 惡意軟件日志信息

2.5服務器列表

 

 

(1)該服務器地址最新注冊與2020-06-09。

 

 

圖2-1 域名最新注冊時間

(2)IP指向美國洛杉機。

 

 

圖2-2 IP指向美國

(3)對服務器地址進行擴展分析發現該應用的下載地址：http://api090501.ca***ac.xyz/1.apk，通過修改apk文件名稱為其它數字能下載不同的應用。其中能下載文件名序號為1-3的apk文件，這三個apk文件代碼行為完全相同，只是圖標及應用名稱不同。

 

[[343042]] [[343043]] [[343044]]

 

圖2-3 同類惡意軟件家族

3.總結

從該應用的應用名稱以及分發網站來看，該病毒軟件主要針對韓國用戶，且威脅行為者利用不同的仿冒韓國應用的惡意軟件進行傳播感染用戶設備，以達到竊取用戶隱私數據的目的。

暗影安全實驗室將會持續監控移動惡意軟件狀態，及時為移動端用戶提供最新風險輿情。