為了更有效率地偷錢，Android root木馬開始試水簡訊扣費詐騙

自2006年9月以來，我們就一直在監控Google Play商店有關Ztorg木馬的各種新變異版本 ，到目前為止，我們已經發現了幾十個新的Ztorg木馬的變異程序。所有這些都是惡意程序無一例外都是利用漏洞在受感染的設備上獲得root許可權。

不過，在2017年5月下旬以來，在我們捕獲的Ztorg木馬的變異程序中，卻發現它們都沒有使用設備的root許可權。通過對Google Play上的兩個惡意應用程序進行研究發現，它們與Ztorg木馬相關，雖然不是獲得受感染設備的root許可權的惡意軟體，但是卻屬於木馬簡訊，它可以發送具有優惠話費的木馬簡訊並在安裝後迅速將其的安裝博刪除，截止目前為止這兩個應用程序已經從Google Play上分別被下載了5萬和1萬次。

卡巴斯基實驗室的專家們將兩個木馬應用程序檢測為SMS.AndroidOS.Ztorg.a木馬，並向Google報告了惡意軟體，目前這兩個應用都已從Google Play商店中刪除了。

2017年5月15日，被稱為「魔術瀏覽器（Magic browser）」的惡意應用程序就已上傳到Google Play了，安裝次數超過5萬次。

第二個應用程序被稱為「雜訊檢測器（Noise Detector）」，具有相同的惡意功能，安裝次數超過10000次。

攻擊過程

惡意程序啟動後，木馬將等待10分鐘，然後連接到其命令和控制（C＆C）伺服器。該木馬使用了一個有趣的技術從C＆C獲取命令，它向C＆C提供兩個GET請求，並且都包括國際移動用戶身份（IMSI）的一部分。第一個請求將如下所示：

GET c.phaishey.com/ft/x250_c.txt（其中250 - IMSI的前三位數字）

如果木馬收到一些數據作為響應，將會發出第二個請求。第二個請求將如下所示：

GET c.phaishey.com/ft/x25001_0.txt（其中25001 - IMSI的前五位數字）

為什麼木馬需要這些來自IMSI的數字？

IMSI的有趣之處在於前三位數字是MCC（移動國家代碼），第三位和第四位是MNC（移動網路代碼）。使用這些數字，攻擊者可以識別受感染用戶的國家和移動運營商，他們需要這樣做才能確定選擇應該發送哪類優惠話費的欺騙簡訊。

在對這些請求進行響應時，木馬可能會收到一些加密的JSON文件，其中包含一些數據。此數據應包括優惠列表，每個優惠均包含一個名為「url」的字元串欄位，可能包含也可能不包含實際的網址。木馬將嘗試使用自己的類打開或查看該欄位。如果這個值確實是一個真實的url，那麼木馬會向用戶顯示其內容。但是如果它是假的url，就會帶有一個簡訊字樣的子串，要求用戶回復一個簡訊，其中就包含提供的號碼，下圖就是決定是否應發送含有惡意代碼簡訊的木馬。

通常很少有簡訊是以這種方式發送的，只要收到網址訪問或簡訊發送後，木馬將關閉設備聲音，並開始刪除用戶收到的所有簡訊。

雖然我們無法通過Google Play傳播的木馬獲得任何命令，但是通過對其他具有相同功能的木馬程序的分析，我們得到了以下命令：

{「icon」:」http://down.rbksbtmk.com/pic/four-dault-06.jpg」,」id」:」-1″,」name」:」Brower」,」result」:1,」status」:1,」url」:」http://global.621.co/trace?offer_id=111049&aff_id=100414&type=1″}

這是一個定期的廣告報價。

WAP計費訂閱

我們能夠在Google Play商店及其他正規的應用商店發現相同功能的許多惡意應用。有趣的是，它們看起來不像獨立木馬，更像是一些木馬程序的附加模塊。

進一步的調查顯示，這些木馬事由一個常規的Ztorg木馬和其他Ztorg模塊一起組合的。

在其中一些木馬中，我們發現它們使用MCC從惡意網址下載了一個JS文件。

於是，為了分析，我們下載了幾個JS文件，它們使用了不同的MCC，可以推斷這些攻擊者是來自不同國家的用戶。由於無法獲取美國MCC的文件，所以只能嘗試從其他國家獲取的MCC文件中找到一些功能相似的文件。我們發現，所有的文件都包含一個名為「getAocPage」的函數，它最有可能引用AoC 即收費建議。在分析這些文件後，我發現他們的主要目的是通過WAP計費對網頁進行點擊攻擊。在進行攻擊時，木馬可以從用戶的移動帳戶竊取資金。 WAP帳單的攻擊方式與話費優惠詐騙簡訊類似，區別就是它採用了訂閱付款的形式，而不是一次性詐騙，下圖就是，來自俄羅斯用戶的CnC的JS文件（MCC = 250）

這意味著該木馬從CnC收到的網址不僅可以是廣告網址，還可以是WAP帳單訂閱的網址。此外，一些具有此功能的木馬程序使用包含「/ subscribe / api /」的CnC URL，這些引用也可能使用訂閱類的攻擊功能。

所有這些木馬，包括來自Google Play的木馬，都在嘗試從任何設備向用戶發送簡訊。為此，攻擊者正在使用很多方法來發送簡訊，以下就是部分「魔術瀏覽器」應用程序的代碼。

總而言之，從「魔術瀏覽器」應用程序的代碼中我們可以發現，它試圖從11個不同的地方向受害者發送簡訊。通過這種方法，攻擊者就能夠從不同的Android版本和設備發送簡訊。此外，我們還找到另一個變異過的SMS.AndroidOS.Ztorg木馬的惡意程序，試圖通過「am」命令發送簡訊，雖然這種方法最終並沒有行得通。

與Ztorg惡意軟體家族的關係

「魔術瀏覽器」惡意應用程序的升級方式與Ztorg木馬程序類似，「魔術瀏覽器」和「雜訊檢測器」應用程序與其他Ztorg木馬共享了許多具有相似之處的代碼。此外，最新版本的「雜訊檢測器」應用程序在安裝包的資產文件夾中包含加密文件「girl.png」。解密後，此文件就會變為Ztorg木馬。

我們發現了幾個與常規Ztorg木馬一起安裝的其他Ztorg模塊功能相同的木馬程序，而不是像「魔術瀏覽器」將附加的Ztorg模塊作為獨立木馬從Google Play傳播的情況。 2017年4月，我們發現一個名為「Money Converter」的惡意應用從Google Play安裝了10000次以上，它使用輔助功能服務從Google Play安裝應用程序。因此，即使在無法獲得root許可權的更新設備上，木馬程序也可以默默地安裝、運行並升級惡意應用程序，而無需與用戶進行任何交互。

獲取root許可權攻擊的木馬是如何演變成通過簡訊進行攻擊的木馬

「噪音偵測器」和「魔術瀏覽器」的惡意應用程序功能雖然相同，但我們認為它們各有不同的用途。 「魔術瀏覽器」上傳的時間較早，我們認為攻擊者是在通過它來檢測他們是否能夠成功上傳這種惡意功能。因為他們上傳惡意應用程序後，並沒有對初級版本進行過更新，它看起來像攻擊者試圖上傳受Ztorg木馬常規版本感染的應用程序。但是在上傳過程中，他們臨時決定在發布root許可權功能的惡意軟體時添加一些用來賺錢的惡意功能。而「雜訊檢測器」的更新則證明了這一點。

5月20日，他們上傳了一個名為「雜訊檢測器」的簡潔版應用程序。幾天後，他們用另一個更簡潔的版本來更新它。

然後，幾天之後，他們往Google Play上傳了一個更新版本，其中包含一個加密的Ztorg木馬程序，但我們無法對其進行解密並執行它。上傳後的第二天，他們終於用具有SMS功能的木馬更新了之前的惡意應用程序，但仍然沒有增加執行加密的Ztorg模塊的可能性。很可能，如果該應用尚未從Google Play中刪除，則他們將在下一階段添加此功能，不過還有另一種可能，即嘗試添加此功能時被Google發現了木馬的存在，並導致其被刪除。

總結

在Google Play中，我們發現了一個非常不尋常的通過SMS傳播木馬的惡意程序。它不僅使用了大約十幾種方法來發送簡訊，而且還以非同尋常的方式初始化這些方法，通過使用CnC中的命令處理網頁載入錯誤。它可以打開廣告網址，此外，它與具有相同功能的Ztorg惡意軟體相關，通常由Ztorg作為附加模塊安裝。

攻擊者首次通過Google Play傳播Ztorg模塊，例如，在2017年4月，他們上傳了一個模塊，可以點擊Google Play商店應用按鈕安裝甚至購買這些推廣應用。

根據推測，攻擊者是在嘗試上傳常規含有root攻擊許可權的Ztorg木馬時為了增加收入而臨時有了簡訊詐騙攻擊的想法。

MD5

本文翻譯自

https://securelist.com/ztorg-from-rooting-to-sms/78775/

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！