自2006年9月以來,我們就一直在監控Google Play商店有關Ztorg木馬的各種新變異版本 ,到目前為止,我們已經發現了幾十個新的Ztorg木馬的變異程序。所有這些都是惡意程序無一例外都是利用漏洞在受感染的設備上獲得root權限。
不過,在2017年5月下旬以來,在我們捕獲的Ztorg木馬的變異程序中,卻發現它們都沒有使用設備的root權限。通過對Google Play上的兩個惡意應用程序進行研究發現,它們與Ztorg木馬相關,雖然不是獲得受感染設備的root權限的惡意軟件,但是卻屬于木馬短信,它可以發送具有優惠話費的木馬短信并在安裝后迅速將其的安裝博刪除,截止目前為止這兩個應用程序已經從Google Play上分別被下載了5萬和1萬次。
卡巴斯基實驗室的專家們將兩個木馬應用程序檢測為SMS.AndroidOS.Ztorg.a木馬,并向Google報告了惡意軟件,目前這兩個應用都已從Google Play商店中刪除了。
2017年5月15日,被稱為“魔術瀏覽器(Magic browser)”的惡意應用程序就已上傳到Google Play了,安裝次數超過5萬次。
第二個應用程序被稱為“噪聲檢測器(Noise Detector)”,具有相同的惡意功能,安裝次數超過10000次。
 攻擊過程
惡意程序啟動后,木馬將等待10分鐘,然后連接到其命令和控制(C&C)服務器。該木馬使用了一個有趣的技術從C&C獲取命令,它向C&C提供兩個GET請求,并且都包括國際移動用戶身份(IMSI)的一部分。第一個請求將如下所示:
GET c.phaishey.com/ft/x250_c.txt(其中250 - IMSI的前三位數字)
如果木馬收到一些數據作為響應,將會發出第二個請求。第二個請求將如下所示:
GET c.phaishey.com/ft/x25001_0.txt(其中25001 - IMSI的前五位數字)
為什么木馬需要這些來自IMSI的數字?
IMSI的有趣之處在于前三位數字是MCC(移動國家代碼),第三位和第四位是MNC(移動網絡代碼)。使用這些數字,攻擊者可以識別受感染用戶的國家和移動運營商,他們需要這樣做才能確定選擇應該發送哪類優惠話費的欺騙短信。
在對這些請求進行響應時,木馬可能會收到一些加密的JSON文件,其中包含一些數據。此數據應包括優惠列表,每個優惠均包含一個名為“url”的字符串字段,可能包含也可能不包含實際的網址。木馬將嘗試使用自己的類打開或查看該字段。如果這個值確實是一個真實的url,那么木馬會向用戶顯示其內容。但是如果它是假的url,就會帶有一個短信字樣的子串,要求用戶回復一個短信,其中就包含提供的號碼,下圖就是決定是否應發送含有惡意代碼短信的木馬。
 通常很少有短信是以這種方式發送的,只要收到網址訪問或短信發送后,木馬將關閉設備聲音,并開始刪除用戶收到的所有短信。
雖然我們無法通過Google Play傳播的木馬獲得任何命令,但是通過對其他具有相同功能的木馬程序的分析,我們得到了以下命令:
{“icon”:”http://down.rbksbtmk.com/pic/four-dault-06.jpg”,”id”:”-1″,”name”:”Brower”,”result”:1,”status”:1,”url”:”http://global.621.co/trace?offer_id=111049&aff_id=100414&type=1″}
這是一個定期的廣告報價。
WAP計費訂閱
我們能夠在Google Play商店及其他正規的應用商店發現相同功能的許多惡意應用。有趣的是,它們看起來不像獨立木馬,更像是一些木馬程序的附加模塊。
進一步的調查顯示,這些木馬事由一個常規的Ztorg木馬和其他Ztorg模塊一起組合的。
在其中一些木馬中,我們發現它們使用MCC從惡意網址下載了一個JS文件。
于是,為了分析,我們下載了幾個JS文件,它們使用了不同的MCC,可以推斷這些攻擊者是來自不同國家的用戶。由于無法獲取美國MCC的文件,所以只能嘗試從其他國家獲取的MCC文件中找到一些功能相似的文件。我們發現,所有的文件都包含一個名為“getAocPage”的函數,它最有可能引用AoC 即收費建議。在分析這些文件后,我發現他們的主要目的是通過WAP計費對網頁進行點擊攻擊。在進行攻擊時,木馬可以從用戶的移動帳戶竊取資金。 WAP帳單的攻擊方式與話費優惠詐騙短信類似,區別就是它采用了訂閱付款的形式,而不是一次性詐騙,下圖就是,來自俄羅斯用戶的CnC的JS文件(MCC = 250)
這意味著該木馬從CnC收到的網址不僅可以是廣告網址,還可以是WAP帳單訂閱的網址。此外,一些具有此功能的木馬程序使用包含“/ subscribe / api /”的CnC URL,這些引用也可能使用訂閱類的攻擊功能。
所有這些木馬,包括來自Google Play的木馬,都在嘗試從任何設備向用戶發送短信。為此,攻擊者正在使用很多方法來發送短信,以下就是部分“魔術瀏覽器”應用程序的代碼。
總而言之,從“魔術瀏覽器”應用程序的代碼中我們可以發現,它試圖從11個不同的地方向受害者發送短信。通過這種方法,攻擊者就能夠從不同的Android版本和設備發送短信。此外,我們還找到另一個變異過的SMS.AndroidOS.Ztorg木馬的惡意程序,試圖通過“am”命令發送短信,雖然這種方法最終并沒有行得通。
與Ztorg惡意軟件家族的關系
“魔術瀏覽器”惡意應用程序的升級方式與Ztorg木馬程序類似,“魔術瀏覽器”和“噪聲檢測器”應用程序與其他Ztorg木馬共享了許多具有相似之處的代碼。此外,最新版本的“噪聲檢測器”應用程序在安裝包的資產文件夾中包含加密文件“girl.png”。解密后,此文件就會變為Ztorg木馬。我們發現了幾個與常規Ztorg木馬一起安裝的其他Ztorg模塊功能相同的木馬程序,而不是像“魔術瀏覽器”將附加的Ztorg模塊作為獨立木馬從Google Play傳播的情況。 2017年4月,我們發現一個名為“Money Converter”的惡意應用從Google Play安裝了10000次以上,它使用輔助功能服務從Google Play安裝應用程序。因此,即使在無法獲得root權限的更新設備上,木馬程序也可以默默地安裝、運行并升級惡意應用程序,而無需與用戶進行任何交互。
獲取root權限攻擊的木馬是如何演變成通過短信進行攻擊的木馬
“噪音偵測器”和“魔術瀏覽器”的惡意應用程序功能雖然相同,但我們認為它們各有不同的用途。 “魔術瀏覽器”上傳的時間較早,我們認為攻擊者是在通過它來檢測他們是否能夠成功上傳這種惡意功能。因為他們上傳惡意應用程序后,并沒有對初級版本進行過更新,它看起來像攻擊者試圖上傳受Ztorg木馬常規版本感染的應用程序。但是在上傳過程中,他們臨時決定在發布root權限功能的惡意軟件時添加一些用來賺錢的惡意功能。而“噪聲檢測器”的更新則證明了這一點。
5月20日,他們上傳了一個名為“噪聲檢測器”的簡潔版應用程序。幾天后,他們用另一個更簡潔的版本來更新它。
然后,幾天之后,他們往Google Play上傳了一個更新版本,其中包含一個加密的Ztorg木馬程序,但我們無法對其進行解密并執行它。上傳后的第二天,他們終于用具有SMS功能的木馬更新了之前的惡意應用程序,但仍然沒有增加執行加密的Ztorg模塊的可能性。很可能,如果該應用尚未從Google Play中刪除,則他們將在下一階段添加此功能,不過還有另一種可能,即嘗試添加此功能時被Google發現了木馬的存在,并導致其被刪除。
總結
在Google Play中,我們發現了一個非常不尋常的通過SMS傳播木馬的惡意程序。它不僅使用了大約十幾種方法來發送短信,而且還以非同尋常的方式初始化這些方法,通過使用CnC中的命令處理網頁加載錯誤。它可以打開廣告網址,此外,它與具有相同功能的Ztorg惡意軟件相關,通常由Ztorg作為附加模塊安裝。
通過分析這些應用程序,我們發現攻擊者正在從事點擊攻擊來劫持WAP計費。這意味著這些木馬不僅可以打開廣告網址,還可以發送含有優惠話費的木馬短信以及打開網頁,并通過用戶帳號竊取資金。而為了隱藏這些活動,木馬會關閉設備聲音并刪除所有接受的短信。攻擊者首次通過Google Play傳播Ztorg模塊,例如,在2017年4月,他們上傳了一個模塊,可以點擊Google Play商店應用按鈕安裝甚至購買這些推廣應用。
根據推測,攻擊者是在嘗試上傳常規含有root攻擊權限的Ztorg木馬時為了增加收入而臨時有了短信詐騙攻擊的想法。
MD5
F1EC3B4AD740B422EC33246C51E4782F
E448EF7470D1155B19D3CAC2E013CA0F
55366B684CE62AB7954C74269868CD91
A44A9811DB4F7D39CAC0765A5E1621AC
1142C1D53E4FBCEFC5CCD7A6F5DC7177
| 
