DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

TestService间谍病毒的七年之痒

09-18 WEB安全

一、概述
近期安天移动安全和猎豹移动联合捕获到间谍家族Trojan/Android.testServiceSpy的一些新的病毒样本,截至目前,捕获到的样本9成以上都是名为”testService”的测试样本,故称之为testService间谍病毒。从时间节点上来看,近年我们也有陆续捕获到该家族的一些其他样本,如Angel、Angel001、testzhixing、True、helloworld等。在最新发现的样本中,有3个具有钓鱼性质的应用,我们对其进行了详细分析,以期还原这个家族样本的技术细节。
二、恶意行为分析
2.1 恶意应用
在我们捕获到的大量的样本中,大多数是类似测试的Demo样本,但是其中包含3个明显具有钓鱼性质的应用,具体为Notepad、ScrollBook(禁书网)和中国化工网。

TestService间谍病毒的七年之痒


以ScrollBook(禁书网)应用为例,我们发现该应用未经用户同意,在后台运行时采集包括位置信息、通话记录、短信、通讯录等用户敏感信息并秘密上传。

TestService间谍病毒的七年之痒


分析发现,这些应用的开发群体恶意攻击倾向较为鲜明,且应用名称及图标具有强烈的钓鱼伪装性质,用户一旦安装将存在严重的隐私泄露风险。
2.2 编码特征
我们捕获到早期的部分样本是不采用任何处理手段的,CC直接明文硬编码在代码中,但是也依然存在大量对明文的CC进行处理的样本,从时间节点上看,我们推测样本进行了多次迭代。
该病毒家族早期对CC的处理方式:先进行BASE64,然后再执行如图1所示的编码处理:

TestService间谍病毒的七年之痒


图 1 – 编码函数1
该病毒家族后期对CC的处理方式:使用图2的编码函数来替代BASE64然后进行DecryptStringabc123()解码,该系列样本并未使用太过复杂的加密编码手段,可以看到,都是类似一些”编码”的处理,值得注意的是这些编码的技术在逐渐加强。

TestService间谍病毒的七年之痒


图 2 – 编码函数2
2.3 通信过程
恶意应用会在首次运行和开机运行之后启动TService服务,TService则会立即启动CMainControl类开启一个用来执行恶意行为的线程:

TestService间谍病毒的七年之痒


  在CMainControl类中会先通过postPhpJob()方法上传手机的一些硬件信息进行“注册”:

TestService间谍病毒的七年之痒


  这些硬件信息将会通过post请求进行上传:

TestService间谍病毒的七年之痒


在上传文件的http->post方法中使用“ahhjifeohiawf”的字符串作为boundary分隔符:

TestService间谍病毒的七年之痒


如果“注册”成功,远程服务器将会下发后续用于通信的IP和Port信息:

TestService间谍病毒的七年之痒


注册完成后将会利用远程服务器返回的IP地址和端口开启一个Socket长连接:

TestService间谍病毒的七年之痒


恶意应用采集到的隐私信息将会通过Socket发送到远程服务器,从Socket中获取输入、输出流以便用来进行后续通信:

TestService间谍病毒的七年之痒


在连接建立后先执行一次mSendReport()操作,该操作会构造”ejsi2ksz”+Mac+IP的byte数组,然后进行一些类似校验和的字段填充操作:

TestService间谍病毒的七年之痒


然后对byte数组进行简短的加密操作之后进行发送:

TestService间谍病毒的七年之痒


mRecvPkgFun()负责解包从远程服务器通过socket流传递过来的信息:

TestService间谍病毒的七年之痒

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/web/118.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 670956访问次数
  • 建站天数
  • 友情链接

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X