Google Play上的AndroidFoulGoal.A間諜軟體分析

世界盃的餘熱還未散去，但近期安全專家卻發現了一個針對世界盃足球球迷的間諜軟體活動。

Golden Cup

這款惡意軟體名叫「Golden Cup」，主要在Google Play應用商店中進行傳播。實際上，利用當前熱門事件來作為社工技術的內容核心其實並不算新穎，而Golden Cup這一次利用的是「世界盃」這個全球範圍內的足球盛典。

表面上，Golden Cup可以觀看足球視頻（包括直播）和球隊比分以及積分情況，但實際上，當目標設備成功安裝好Golden Cup之後，它便會在目標設備上安裝間諜軟體。McAfee Mobile Security將這一威脅標記為Android/FoulGoal.A，不過廣大用戶無須擔心，Google已經將這款惡意應用程序從Google Play下架了。

值得一提的是，Golden Cup給用戶呈現出的賽事數據來源於合法的Web服務，但是它在後台卻會將用戶的數據信息發送給另一台由攻擊者控制的惡意伺服器。

數據捕捉

GoldenCup能夠從目標用戶的設備中收集到下列加密數據：

1. 手機號碼；

2. 已安裝的數據包；

3. 設備型號、製造商和序列號；

4. 可用的內部存儲空間；

5. 設備ID；

6. Android版本信息；

7. IMEI和IMSI；

由於這款間諜軟體會從遠程資源載入dex文件，因此研究人員認為這只是它收集信息的第一個階段。App會跟其命令控制伺服器進行連接，並嘗試下載、解壓和解密第二階段的操作命令。

Android/FoulGoal.A能夠檢測屏幕是否處於亮起狀態，並將相關信息記錄在其內部文件scrn.txt之中，用字元串「on」或「off」來標記用戶是否在查看自己的手機屏幕：

在數據傳輸的過程中，受感染設備與遠程命令控制伺服器（攻擊者控制的）的通信信道採用的是消息隊列遙測傳輸協議（MQTT）。

數據解密

在將用戶數據發送給惡意伺服器之前，惡意軟體會採用AES演算法對用戶數據進行加密。在惡意軟體的代碼中，Cryptor類負責對數據進行加密和解密操作。其中，doCrypto函數是一個常規函數，第一個參數「1」代表加密，「2」代表解密模式：

加密過程中，加密密鑰是通過SecureRandom函數動態生成的，該函數會在設備上生成一個唯一值來對收集到的數據進行混淆處理。addKey函數負責將加密密鑰嵌入至加密數據中，接下來，帶有密鑰的數據將會被上

傳到惡意伺服器中：

安全研究專家認為，這款惡意軟體的開發者之所以要使用這種AES加密技術來進行數據傳輸，主要是想躲避Google Bouncer以及其他網路安全產品的檢測。數據顯示，目前至少有三百台設備感染了Golden Cup惡意軟體，感染高峰期在2018年6月8號至12號之間，也就是俄羅斯世界盃開賽之前。

第二階段

攻擊的第二階段利用了一個加密的dex文件，該文件帶有.data後綴，由第一階段的惡意軟體下載並動態載入。該文件會使用相同的機制進行提取，並用來向惡意伺服器上傳加密後的用戶文件。

解密密鑰的存儲位置可以通過識別第一階段惡意軟體中的內容大小以及固定數值來查找。解密之後，我們可以看到out.dex文件為壓縮格式，dex文件帶有的間諜軟體功能能夠從受感染設備中竊取簡訊信息、通訊錄、多媒體文件和設備地理位置信息。

第二階段所使用的命令控制伺服器跟第一階段所使用的並不是同一台，但是採用的加密方法和伺服器目錄結構卻是相同的。在分析過程中，研究人員還在惡意伺服器中發現了一名用戶的GPS定位信息以及錄音文件（.3gp）。

惡意軟體變種

需要注意的是，研究人員還發現了兩個Golden Cup變種，而這兩個拌種版本都是由同一開發者上傳到Google Play商店中的。雖然Google現在已經將這三款App下架了，但還是已經有大量用戶感染了Golden Cup，因為通過對其惡意伺服器的分析來看，這些App目前仍活躍在某些用戶的設備上。

研究數據表明，雖然全球範圍內都有用戶下載了這款惡意軟體，但主要的下載量還是中東地區的用戶貢獻的，因此受此活動影響最大的應該是中東地區的朋友們。

目前，McAfee Mobile Security已經將該威脅標記為了Android/FoulGoal.A，並且能夠識別該惡意軟體威脅的所有變種版本。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！