對WhatsApp中消息自動回復的Android惡意軟件分析
0x01 基礎概述
我們最近在Google Play上發現了隱藏在偽造應用程序中的惡意軟件,該軟件能夠通過用戶的WhatsApp消息進行傳播。如果用戶下載了偽造的應用程序并在不經意間授予了惡意軟件適當的權限,則該惡意軟件能夠使用從命令和控制(C&C)服務器接收到的有效負載自動回復受害者的WhatsApp消息。這種獨特的方法可能使攻擊者能夠進行網絡釣魚攻擊,散布虛假信息或從用戶的WhatsApp帳戶中竊取憑據和數據等等。
隨著移動威脅形勢的發展,攻擊者一直在尋求開發新技術以發展和成功分發惡意軟件。在此特定活動中,我們的研究人員在Google Play應用商店中發現了一種新穎的創新惡意威脅,該威脅通過移動用戶的WhatsApp對話傳播,并且還可以通過自動回復傳入的WhatsApp消息來發送進一步的惡意內容。
研究人員發現該惡意軟件隱藏在Google Play上名為“ FlixOnline”的應用程序中。該應用程序是一項偽造服務,聲稱允許用戶在其手機上查看來自世界各地的Netflix內容。但是,該應用程序實際目的為監視用戶的WhatsApp通知,并使用從遠程命令和控制(C&C)服務器接收的內容向用戶的傳入消息發送自動回復,而不是允許移動用戶查看Netflix內容 。
該惡意軟件向受害者發送以下響應,誘使提供免費的Netflix服務:
“免費提供2個月的Netflix Premium免費服務,在世界任何地方均可獲得2個月的Netflix Premium免費服務。在這里立即獲取: [https:// bit 。] ly / 3bDmzUw。”
利用這種技術,攻擊者可以執行各種惡意活動:
- 通過惡意鏈接傳播更多惡意軟件
- 從用戶的WhatsApp帳戶中竊取數據
- 將虛假或惡意消息傳播到用戶的WhatsApp聯系人和組
- 通過威脅向其所有聯系人發送敏感的WhatsApp數據或對話來勒索用戶
圖1 – Google Play上的FlixOnline應用程序
0x02 技術分析
從Play商店下載并安裝該應用程序后,該惡意軟件會啟動一項服務,該服務請求“覆蓋窗口”,“電池優化忽略”和“獲取通知信息”權限。獲得這些權限的目的是:
- 覆蓋窗口允許惡意應用程序在其他應用程序之上創建新窗口。惡意軟件通常會要求這樣做,以便為其他應用程序創建偽造的“登錄”屏幕,目的是竊取受害者的憑據。
- 忽略電池優化可以阻止惡意軟件被設備的電池優化例程關閉,即使閑置了很長時間也是如此。
- 最顯著的權限是“通知”訪問權限,更具體地說是“通知監聽器”服務。啟用后,此權限使惡意軟件可以訪問與發送到設備的消息相關的所有通知,并具有自動執行指定操作(例如對設備上收到的消息進行“關閉”和“回復”)的功能。
圖2 – FlixOnline權限請求
授予權限后,該惡意軟件會顯示它從C&C服務器接收到的登錄頁面,并立即隱藏其圖標,因此無法輕松刪除該惡意軟件。這是通過定期與C&C聯系并相應更新惡意軟件配置的服務來完成的。該服務可以通過使用多種方法來實現這些目標。例如,可以通過安裝應用程序以及在BOOT_COMPLETED操作中注冊的警報來觸發該服務,該操作在設備完成啟動過程之后被調用。
圖3和圖4 –服務注冊,BOOT_COMPLETE
來自C&C的響應包含具有以下字段的配置:
圖5 –C&C通信和配置解析
完成此操作后,惡意軟件便具有分發有效負載所需的一切。通過OnNotificationPosted回調,惡意軟件檢查原始應用程序的程序包名稱,如果該應用程序是WhatsApp,它將處理通知。
圖5 –檢查WhatsApp通知
首先,惡意軟件取消通知以將其隱藏給用戶,并讀取接收到的通知的標題和內容。接下來,它搜索負責內聯答復的組件,該組件用于使用從C&C服務器接收到的有效負載發送答復。
圖6 –通知處理
圖7 –搜索內聯回復組件
圖8 –發送回復
0x03 分析總結
我們負責地將有關惡意應用程序及其研究細節的信息通知了Google,Google迅速從Play商店中刪除了該應用程序。在2個月的時間里,“ FlixOnline”應用程序被下載了大約500次。
這種可感染蠕蟲的Android惡意軟件具有創新和危險的新技術,它們可以自行傳播,以及從WhatsApp等受信任的應用程序中操縱或竊取數據。需要注意,即使用戶似乎來自受信任的聯系人或消息傳遞組,用戶也應警惕通過WhatsApp或其他消息傳遞應用程序收到的下載鏈接或附件。如果用戶被感染,則應從設備中刪除該應用程序,然后更改其密碼。
0x04 IOCs
FlixOnline – 1d097436927f85b1ab9bf69913071abd0845bfcf1afa186112e91e1ca22e32df
C&C – netflixwatch[.]site
軟件包名稱– com.fab.wflixonline
證書– BEC2C0448558729C1EDF4E45AB76B6A3EE6E42B7
本文翻譯自:https://research.checkpoint.com/2021/new-wormable-android-malware-spreads-by-creating-auto-replies-to-messages-in-whatsapp/如若轉載,請注明原文地址。
