DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

对Red Alert v2.0银行木马的逆向和溯源分析

09-18 WEB安全

事情的起源
这一切都始于一个垃圾邮件,它带有着一个Android应用程序附件。垃圾邮件模糊地声称,该附件是一个名为SilverBox 寻找匿名性交朋友的约会应用程序。

对Red Alert v2.0银行木马的逆向和溯源分析


垃圾邮件示例
这与我们平时在windows上接受到的恶意邮件和附件所不同,恶意邮件附带一个apk(Android Package Kit)文件是非常不寻常的,值得耐人寻味。我们的好奇心得到了激发并决定潜入并分析它。
 
初步分析
通过使用Apktool对APK文件进行解压缩和解码来开始分析,我们马上注意到代码被进行了严重的混淆。

对Red Alert v2.0银行木马的逆向和溯源分析


DEX文件严重混淆
然后我们检查根目录中的AndroidManifest.xml文件。AndroidManifest.xml 是每个android程序中必须的文件,它位于整个项目的根目录。我们每天都在使用这个文件,往里面配置程序运行所必要的组件,权限,以及一些相关信息。清单文件显示看似随机命名的应用程序原始软件包名称。

应用程序的包名称
该应用程序的目标SDK版本代码是Android Marshmallow及更高版本,如上图所示。这字段platformBuildVersionCode中指示我们看到这个应用程序需要的Android权限列表

对Red Alert v2.0银行木马的逆向和溯源分析


应用程序的Android权限
其中的大多数权限不仅让人发出疑问包括权限如:WRITE_SMS,READ_SMS,RECEIVE_SMS。CALL_PHONE,CHANGE_NETWORK_STATE。我们已经在此表中编译了此应用程序需要的所有Android权限:

对Red Alert v2.0银行木马的逆向和溯源分析


该软件请求的权限
我们继续使用Android Studio的AVD(Android虚拟设备)在模拟器上安装该应用程序。正如你所看到的,应用程序需要被用户激活才能使用它。

对Red Alert v2.0银行木马的逆向和溯源分析


需要被用户激活
在这个阶段,我们希望更好地理解代码,但我们发现很难绕过混淆。我们尝试使用IDAPro远程调试应用程序,这很痛苦和乏味。我们做的另一件事是让恶意软件运行,然后转储设备的内存。这帮助我们从应用程序中找到恶意软件配置和字符串。虽然这很有帮助,但仍然不够,我们需要反编译的源代码才能充分了解此恶意软件的工作原理。
在设备中,我们使用Android调试桥(ADB)工具搜索更多有趣的数据,并找到应用程序的VDEX和ODEX文件。

对Red Alert v2.0银行木马的逆向和溯源分析


。VDEX文件包含APK的未压缩的DEX(Dalvic可执行)代码,而ODEX包含APK中的方法的前期编译代码。 所以,我们下一步就是使用vDexExtractor工具反编译VDEX文件。

对Red Alert v2.0银行木马的逆向和溯源分析


vDexExtractor工具命令行将.vdex文件转换为.dex文件
在反编译并将.VDEX转换为.DEX文件后,我们使用JADX工具将.DEX文件转换为.JAR文件。然后我们可以使用IntelliJ / Android Studio或任何可用的Java反编译器等工具反编译.JAR文件。

对Red Alert v2.0银行木马的逆向和溯源分析


Android恶意软件被反编译。在这个屏幕截图中显示的是Bot的命令,获得一些Java代码后,下一步是详细的静态分析。
 
恶意软件的主要架构
恶意软件的主要体系结构分为以下主要类别:
数据库访问
存储在SQLite中的数据。命令也存储在这个数据库中,并且主要通过这个层来处理。

SQLlite数据库由恶意软件创建以存储命令,短信列表和模板
电话相关
设置默认电话软件包,实用功能(获取设备ID,SIM卡序列号,行号等)

对Red Alert v2.0银行木马的逆向和溯源分析


设置默认的电话包
服务响应处理程序
响应回复并可能向命令和控制(C&C)服务器发起新请求。一些响应处理程序是:GetTemplateHandlerPostCallListHandlerPostContactListHandlerServerCommandHandler – 主要通过写入数据库来控制恶意软件RegisterDeviceHandlerSendSmsListResponseHandlerGetSmsListResponseHandler
相关的网络连接
该层将设备注册为bot,确保连接在线,发布通话列表,短信列表等等,其回复将由Service ResponseHandlers处理
服务
处理被拦截的意图。其中一些服务处理恶意软件的生命周期并确保恶意软件始终运行。这些服务的一些例子是:WatchDogService:设置定时器以确保恶意软件定期运行。ControlService:注册设备机器人,并启动ReadCommandThread:等待C&C服务器的指示确保设备已连接到C&C服务器BootReceiver:确保所有功能在计算机重新启动时运行。该启动接收器确保看门狗服务每10秒或30秒运行一次,具体取决于操作系统

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com//web/114.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 722652访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X