作者:申迪
最近,国外接连爆出若干安卓平台的远程控制木马,这些木马被植入用户的手机之后,接收服务器的指令进行隐私窃取。攻击者在Web管理页面可以方便的针对每个人下发不同的控制指令。而值得注意的是,一款名为Dendroid的木马在国外的黑市中以300美元售卖,接收比特币或莱特币支付。木马购买者享受的服务包括apk木马软件本身,一套WEB管理页面,以及7X24小时的客户服务。此外,作者还提供软件捆绑服务,购买者可以将木马捆绑在正常软件中,绕过了一些无严格人工审查的应用市场审核,将木马通过市场分发。据了解,该木马甚至曾在国外某些知名市场上架。这表明远控木马的黑色产业链已经形成,众多手机用户面临可能沦为“肉鸡”的风险。
目前,360手机卫士已经可以查杀此类木马,同时建议用户使用360手机助手安装软件,避免此类木马的侵袭。
木马特征
后台地址被写死在程序代码中,解密后是http://friendclub.im/dendroid 后面的几个PHP是后台的信息上传接口。
地址采用了**Base64**简单加密
然后管理后台是要求登陆密码的,虽然没有登陆权限,但是还是从木马作者的销售广告中看到的功能强大的管理后台截图。是不是有点像PC时代远控木马的界面?
木马销售广告中展示的管理页面
从代码中,可以看到木马循环获取服务端的控制请求
木马支持的指令多达数十条:
mediavolumeup
mediavolumedown
ringervolumeup
ringervolumedown
screenon
recordcalls
intercept
blocksms
recordaudio
takevideo
takephoto
settimeout
sendtext
sendcontact
callnumber
default
openwebpage
updateapp
promptupdate
uploadfiles(Audio/Videos/Pictures/Calls)
changedirectory(Audio/Videos/Pictures/Calls)
getbrowserhistory
getbrowserbookmarks
getcontacts
getinboxsms
getsentsms
deletesms
getuseraccounts
getinstalledapps
httpflood
openapp
opendialog
uploadpictures
setbackupurl
transferbot
这数十条指令包括了拍照、通话窃听、短信窃取、浏览器历史记录窃取,还有通信录、照片、视频等手机文件窃取,甚至还可以被用来做DDoS攻击的节点。还包含一系列诸如调整音量、解锁、弹出网页等控制命令。至此,手机彻底沦为攻击者的肉鸡。
另外代码中还包含了简单的沙箱检测:
由于一些应用市场仅使用沙箱来进行高危行为检测,使用以上代码可以绕过一些简单配置的沙箱环境。而360手机助手中的软件全部采用静态扫描、动态沙箱、人工检测相结合的方法,能够保证用户安全下载应用。
安全建议
– 仅通过360手机助手安装应用,确保安装应用的安全
– 安装360手机卫士作为手机端的安全软件,确保手机系统不受恶意木马侵袭
结语
随着智能手机的普及,越来越多曾被用于电脑的攻击形式被应用于移动平台,这一次以Dendroid、iBanking Mobile Bot为代表的工具型远程控制木马也开始流行起来。另一方面,售卖安卓木马的黑色产业也悄悄浮出水面,将有更多的人参与到安卓木马传播当中来。我们将会持续关注这一类木马的发展趋势并提供解决方案。
扩展阅读
http://www.symantec.com/connect/blogs/android-rats-branch-out-dendroid
https://blog.lookout.com/blog/2014/03/06/dendroid/
http://techlomedia.in/2014/03/dendroid-malware-gives-attacker-complete-control-android-device-22085/
https://blogs.rsa.com/ibanking-mobile-bot-source-code-leaked/
http://googlemobile.blogspot.com/2012/02/android-and-security.html
http://www.symantec.com/connect/blogs/remote-access-tool-takes-aim-android-apk-binder
http://www.symantec.com/connect/blogs/rise-java-remote-access-tools
http://contagiominidump.blogspot.com/2014/03/dendroid-android-spyware.html
Comments