《Sadstrot木馬分析報告 》

AVL移動安全團隊截獲了一款惡意應用。該木馬運行后會竊取用戶QQ和微信賬戶、好友列表、消息記錄等,同時會利用subtrate hook框架監控鍵盤輸入的任何信息。此外,該應用還會接收云端指令,執行模塊更新、刪除指定文件等遠程控制操作,嚴重影響系統安全。目前AVL Pro已經可以全面查殺,有效保護用戶手機安全。

一、木馬行為及危害

1 一旦運行,該木馬立即申請root權限,為之后各種惡意行為做好鋪墊。

2 創建一個detect進程,此進程下的模塊插件與主進程進行通信,通過回調Java層代碼、hook等方式收集用戶隱私。

3 監聽鍵盤輸入,用戶所有敲入的字符都會被竊取,包括銀行賬號密碼、社交APP賬號密碼等等。

4 接收云端指令,執行模塊更新、刪除指定文件等,給系統安全帶來極大安全隱患。

二、木馬執行流程

1

本地進程間通信協議

運行在com.sec.android.service.powerManager進程的libnativeLoad.so、libPowerDetect.cy.so,會創建大量的服務監聽。當接收到來自detect進程中的插件模塊發來的socket通信請求時,通過判斷buffer的前2個字節作為魔術字進行匹配,執行相應操作。

2

三、詳細分析
1 申請root權限,運行cInstall可執行文件

1) cInstall文件會在應用的私有路徑下創建工作目錄與數據存儲目錄,將cache緩存中detect、plugin.dat、dtl.dat、glp.uin拷貝到指定的目錄下。

2) 讀取plugin.dat,解析獲取指定id模塊對應的插件名稱,據此改名寫入”/data/data/com.sec.android.service.powerManager/cores/Users/All Users/Intel”目錄。

以上目錄與文件將被賦予可讀可寫可執行權限,為之后各種惡意行為做好鋪墊。

將cache緩存下的super拷貝到/system/bin/目錄,并提權。之后將libPowerDetect.cy.so、libnativeLoad.so等文件拷貝到指定目錄,并靜默安裝substrate hook框架。

3

圖 cInstall文件執行流程

將super拷貝到/system/bin目錄下,并提權。

4

靜默安裝substrate框架:

5

2 調用Substrate框架,并利用hook技術監控鍵盤輸入

運行substrate框架,libPowerDetect.cy.so在init_array段進行初始化時,便會調用Substrate框架提供的api,對輸入法操作中的字符輸入、結束輸入、隱藏鍵盤等方法進行hook,并將收集到的字符發送至detect進程。

6 20

7

3 創建大量的監聽服務,運行detect可執行文件

libnativeLoad.so會調用以下jni方法,創建大量的監聽服務,運行super可執行文件。Super會通過設置用戶和用戶所在組id這種方式獲取進行提權,并fork出一個detect進程。

運行super可執行文件,并將detect文件所在路徑作為參數傳入。

8 21

設置用戶和用戶組id為root權限用戶。

9

10

fork出一個進程運行detect可執行文件。

11

4 初始化主插件

detect可執行文件查找主插件下Initialplugin、 NetWorkStateChanged這兩個符號,并調用進行初始化。

12

25

30

5 主插件加載調用其他模塊

WSDMoo.dat會調用執行其他模塊下的SetCallbackInterface方法,并將一組函數指針作為參數傳入,使其能夠通過回調相應函數獲取工作目錄、插件配置等信息,且能為主插件添加一個上傳任務。

13

35

6 收集QQ賬戶、好友列表等隱私信息

winbrrnd.dat插件的SetCallbackInterface方法會創建startListernQQMsgThread線程,獲取QQ和微信賬戶、好友列表、消息記錄等信息,輸出到指定文件,并回調主插件的CbAddUploadFileTask函數添加一個上傳任務。

333

14

40

15

7 Socket聯網上傳,獲取指令執行相應遠控操作

Socket聯網發送手機固件、插件信息,記錄了從其他模塊收集的隱私信息的文件。接收從服務器發來的消息,解析指令(詳見下表),并執行相應操作。

16

表3 遠控指令列表

四 總結

此款木馬的特點是運行過程高度模塊化,各ELF文件之間會相互通信、相互配合,并最終實現隱私竊取和遠控后門的功能。此外,它還利用了substrate框架進行hook監控鍵盤輸出。同時,該木馬還會收集QQ和WebChat賬號信息。黑客可能利用這些信息,向QQ好友或微信好友發送詐騙信息,對用戶潛在威脅巨大。AVL移動安全團隊提醒您,僅從官方站點或可信任的應用市場下載手機軟件,不隨意下載插件,以避免受到手機病毒的危害。此外,針對此類手機病毒,AVL Pro已經實現查殺。

 

[via@AVL Team]