【技术分享】安卓新型恶意木马Xavier的发展过程和技术分析

阅读量128542

|

发布时间 : 2017-06-26 10:19:53

x
译文声明

本文是翻译文章,文章来源:blog.trendmicro.com

原文地址:http://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-xavier-information-stealing-ad-library-android/

译文仅供参考,具体内容表达以及含义原文为准。

https://p2.ssl.qhimg.com/t010249fb15ef25de99.png

译者:eridanus96

预估稿费:160RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

近日,一个名为Xavier的安卓系统广告库木马被发现,它会在用户不知情的情况下窃取和泄露用户的信息,同时还可以在root过的安卓设备上静默安装任何APK。

据统计,目前已有超过800个嵌入该广告库的应用程序,这些应用程序已经被用户下载数百次。下载量最大的是越南、菲律宾、印度尼西亚这些东南亚国家,美国和欧洲的下载量则相对较小。

https://p4.ssl.qhimg.com/t0104336e783f46b635.jpg

与其他广告库木马不同的是,它将从远程服务器下载代码并加载执行的恶意行为嵌入到自身,同时使用数据加密和仿真程序检测等方法来保护自己不被查杀。

由于该木马具备一种能逃避静态和动态分析的自我保护机制,所以它的窃密行为很难被监测到。此外,Xavier还可以下载并执行其它恶意代码,这一点意味着它具有更大的风险。Xavier的具体行为取决于下载的代码和代码中的网址,可被指定服务器远程设置。


木马发展过程

该木马的发展变化过程如下图:

https://p1.ssl.qhimg.com/t01910b081136998988.jpg

Xavier是AdDown木马家族的一员,该系列木马已经在互联网中存在超过两年。其第一个版本称为joymobile,于2015年年初被发现。此变体已经可以执行远程代码。

https://p4.ssl.qhimg.com/t014b761c1c2561930f.jpg

除了收集和泄露用户信息之外,这一木马还能悄无声息地在已经root过的安卓设备中安装其他APK。

https://p4.ssl.qhimg.com/t011005697a3b7d6ea5.jpg

该木马会以明文形式与命令和控制(C&C)服务器进行通信,但所有的常量字符串都在代码中被加密过。

https://p1.ssl.qhimg.com/t010f70319b4a4782a8.jpg

AdDown家族出现的第二个变种叫nativemob。与joymobile相比,我们可以发现nativemob的代码结构进行了调整和优化。同时,nativemob还增加了一些新的功能,主要是行为控制和实用工具。虽然这一变种没有使用静默方式安装应用,但提示用户确认的应用安装行为仍然存在。

https://p0.ssl.qhimg.com/t0167b3f31e2aec2854.jpg

https://p3.ssl.qhimg.com/t016b5f5df094e07eef.jpg

在将数据发送到C&C服务器之前,它收集了比joymobile更多的用户信息,并使用base64的方式对这些信息进行了编码。

https://p3.ssl.qhimg.com/t0154c82b27b0758e66.jpg

接下来的一个变种版本出现在2016年1月,这一变种调整了字符串加密算法,对从远程服务器下载的代码进行加密,同时还添加了一些反射调用。

https://p3.ssl.qhimg.com/t0156c01b0d686a1971.jpg

16年2月,它对设置模块做了若干更新,由于某种原因又移除了数据加密的部分。

https://p4.ssl.qhimg.com/t0189430f5564b79975.jpg

在接下来的几个月中进行了进一步更新,然而这些更新都没有太大的变动。


Xavier的技术分析

2016年9月,被称为Xavier的新变种被发现。该变种与此前版本相比,具有更精简的代码。Xavier删除了apk安装和root检查,同时增加了数据加密的茶叶算法(TEA algorithm)。

https://p1.ssl.qhimg.com/t0156026ef405dbb044.jpg

很快,Xavier的更新版本增加了一种可以逃脱动态检测的机制。

Xavier的结构如下:

https://p1.ssl.qhimg.com/t01f5db7675c9461314.jpg

一旦它被加载,Xavier将从C&C服务器https[:]//api-restlet[.]com/services/v5/中获取经加密后的初始配置。

https://p1.ssl.qhimg.com/t01ec040afa74adccaa.jpg

服务器同样会对响应数据进行加密:

https://p1.ssl.qhimg.com/t01aba4967fb8c996f4.jpg

在解密后,我们可以发现其实是一个Json文件:

https://p1.ssl.qhimg.com/t0149ac1a63b80285d1.jpg

V代表SDK版本;

L代表SDK地址;

G代表SDK标识号;

S代表SDK设置;

Au与其配置有关。

Xavier随后会根据其配置文件,从http[:]//cloud[.]api-restlet[.]com/modules/lib[.]zip下载所谓的SDK文件。然而我们发现,lib.zip并非一个完整的zip文件。

在获取到lib.zip后,Xavier将“0x50 0x4B”添加在lib.zip的最前,并将其改名为xavier.zip。此时的文件就变成了完整的zip文件。

修改前的lib.zip

https://p4.ssl.qhimg.com/t01446cdd16b3a0ad95.jpg

修改后的xavier.zip

https://p3.ssl.qhimg.com/t015d2ffa70a134de8d.jpg

Xavier.zip包含一个可供Xavier加载和调用的classes.dex文件。

https://p3.ssl.qhimg.com/t014ce37e7d3ceb2370.jpg

这一dex文件会从用户的设备中收集一些信息, 并加密并传输到远程服务器 https[:]//api-restlet[.]com/services/v5/rD中,收集信息内容如下:

制造商,来源,SIM卡所属国家,产品名称,生产商ID,SIM卡运营商,服务ID,系统语言,分辨率,型号,操作系统版本,设备名称,设备ID,已安装的APP,安卓ID,邮箱地址。

https://p1.ssl.qhimg.com/t01f3d4d20f06bd3d34.jpg

Xavier还会通过检测系统中运行的进程,使其攻击行为具有隐蔽性,从而逃脱动态检测。

它检查设备的产品名称、制造商、设备品牌、设备名称、设备模块、硬件名称或指纹是否包含以下字符串:

vbox86p,Genymotion,generic/google_sdk/generic,generic_x86/sdk_x86/generic_x86,com.google.market,Droid4X,generic_x86,ttVM_Hdragon,generic/sdk/generic,google_sdk,generic,vbox86,ttVM_x86,MIT,Andy,window,unknown,goldfish,sdk_x86,generic_x86_64,phone,TTVM,sdk_google,Android SDK built for x86,sdk,Android SDK built for x86_64,direct,com.google,XavierMobile,TiantianVM,android_id,generic/vbox86p/vbox86p,com.google.vending,nox

Xavier还通过扫描用户的邮件地址来隐藏其行为,会检查用户的电子邮件地址是否包含下列字符串:

pltest,@facebook.com,tester,@google.com,review,playlead,agotschin,gptest,rxwave 15,rxplay,admob,gplay,adsense,gtwave,rxtest,wear.review,qaplay,test,rxtester,playtestwave

https://p2.ssl.qhimg.com/t015b003625f2d7a6e3.jpg

为了进一步避免被发现,Xavier具有如下行为:

1) 对所有常量字符串进行加密,使静态检测和手动分析更加困难。

https://p5.ssl.qhimg.com/t01cad6d13af4f5be6f.jpg

2) 通过https进行网络数据传输, 防止其通信被捕获,同时对数据也进行加密。

https://p5.ssl.qhimg.com/t01f863589aaf58b2ec.jpg

3)使用大量的反射调用方法, 对类名和方法名进行加密。

https://p0.ssl.qhimg.com/t01284c51e72d614741.jpg

4)根据运行环境,隐藏其行为。

这是Google Play中一个被嵌入了Xavier广告库木马的应用程序:

https://p0.ssl.qhimg.com/t0174565de0aa9cccdb.jpg


防范建议

避免像Xavier这样的恶意软件,最简单的方法是:不下载任何来源不明的APP,包括在诸如Google Play这样正规的应用商城中的APP。

此外,还应该留意应用商城中其他用户对于某个APP的评论,如果有人提及某个APP表现出了可疑行为,那就应该特别注意。

此外,需要及时更新移动设备的系统,及时修复已知漏洞。假如自己的手机出现了异常状况,需要及时寻求手机售后服务人员或安全人士进行处理。

本文翻译自blog.trendmicro.com 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
P!chu
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66