閱讀871 返回首頁    go 阿裏雲 go 技術社區[雲棲]

“Xavier”安卓木馬分析:可靜默收集數據並遠程代碼執行

趨勢科技研究發現了一款Android惡意木馬——Xavier。在穀歌Play應用市場中,超過800款Android應用感染了該惡意木馬,影響數百萬Android用戶。感染的應用範圍覆蓋圖片編輯器,牆紙和鈴聲轉換器等。受感染的用戶絕大多數來自亞洲東南部國家,如越南、菲律賓和印度尼西亞,美國和歐洲的感染人數較少。


對比此前惡意廣告木馬,Xavier的功能及特征更為複雜。首先他具備遠程下載惡意代碼並執行的能力。其次,它通過使用諸如字符串加密,Internet數據加密和模擬器檢測等方法來保護自己不被檢測到。


Xavier竊取用戶數據的行為很難被發現,它有一套自我保護機製,來躲避靜態和動態的檢測分析。此外,Xavier還具有下載和執行其他惡意代碼的能力,使它的威脅性大大增加。


Xavie進化史


joymobile

Xavier是惡意廣告下載家族的成員之一,它的存在已有2年時間。第一個版本被稱為joymobile,出現在2015年年初。joymobile這個版本已經具備執行遠程代碼的能力。

除了收集和泄露用戶信息,它還可以安裝其他應用,並在設備root的情況下實現靜默安裝。

 

它通過遠程命令和C&C服務器來發送和接受信息,並對這些信息沒有加密,但是對所有的常量字符串都進行了加密。



nativemob

第二個版本命名為nativemob,對比joymobile我們可以發現nativemob的代碼重構了,並增加了一些新特新。主要是廣告行為和實用程序。雖然沒有靜默安裝,但是需要用戶確認安裝的程序仍然存在。

 

它比第一個版本收集更多的用戶信息,並通過base64編碼發送這些信息到C&C服務器。


 

nativemob的下一個變種出現在2016年1月左右,它縮減了字符串加密算法,加密了從遠程服務器下載的代碼,並添加了一些反射調用。



緊接著在2月份,它更新了各方麵的廣告模塊設置,並出於某種原因刪除了數據加密。


 

在接下來的幾個月裏進行了進一步更新。但是這些更新對於廣告庫沒有進行重大更改。

 

Xavier技術分析

Xavier的變體出現在2016年9月,它的代碼更加精簡。第一個版本重去除了APK安裝和root校驗,但是加入了TEA加密算法。



很快它添加了避免動態檢測的機製,其結構如下:

 

一旦加載Xavier,它將從C&C服務器hxxps://api-restlet[.]com/services/v5/得到初始化配置,並使其加密。


服務器還對響應數據進行加密:


 

解密後,我們可以看到它實際上是一個json文件:

V代表SDK版本

L代表SDK URL地址

G代表SDK Sid

S代表 SDK設置

Au與ad配置相關

 

Xavier將從hxxp://cloud[.]api-restlet[.]com/modules/lib[.]zip下載SDK並讀取配置。但是,lib.zip不是一個完整的壓縮包。

在得到lib.zip壓縮包之後,Xavier在壓縮包裏加入0x50 0x4B頭,並把它命名為xavier.zip的有效文件。


加入之前


加入之後

 

Xavier.zip包含加載和調用它的classes.dex文件。


 

這個dex文件將收集用戶的的設備信息,並加密傳輸到遠程服務器hxxps://api-restlet[.]com/services/v5/rD

如郵箱地址,設備ID,模型,操作係統版本,國家,手機製造商,SIM卡運營商,安裝的應用程序等信息。


 

為了躲避動態檢測,Xavier運行在模擬器環境下還會隱藏惡意行為。

它會檢測設備是否包含產品名稱、製造商、設備商標、設備模塊、硬件名稱、指紋等以下字符串。


  • vbox86p
  • Genymotion
  • generic/google_sdk/generic
  • generic_x86/sdk_x86/generic_x86
  • com.google.market
  • Droid4X
  • generic_x86
  • ttVM_Hdragon
  • generic/sdk/generic
  • google_sdk
  • generic
  • vbox86
  • ttVM_x86
  • MIT
  • Andy
  • window
  • unknown
  • goldfish
  • sdk_x86
  • generic_x86_64
  • phone
  • TTVM
  • sdk_google
  • Android SDK built for x86
  • sdk
  • Android SDK built for x86_64
  • direct
  • com.google
  • XavierMobile
  • TiantianVM
  • android_id
  • generic/vbox86p/vbox86p
  • com.google.vending
  • nox



Xavier還通過檢查它是否包含以下字符串,來隱藏掃描用戶郵箱的行為:

  • pltest
  • @facebook.com
  • tester
  • @google.com
  • review
  • playlead
  • agotschin
  • gptest
  • rxwave 15
  • rxplay
  • admob
  • gplay
  • adsense
  • gtwave
  • rxtest
  • wear.review
  • qaplay
  • test
  • rxtester
  • playtestwave



Xavier如何避免檢測?

1、對所有常量字符串進行加密,使得靜態檢測和動態分析更加困難



2、它通過HTTPS進行網絡傳輸,以防止流量被捕獲,還對數據進行加密:



3、它使用了大量反射調用方法,其中類名和方法名都進行了加密



4、它會根據運行環境隱藏其行為。下麵是穀歌播放器的示例,嵌入了一個Xavier惡意廣告庫:




保護措施

1、提防可疑和陌生的應用軟件,即便是從官方應用市場下載的。盡量下載知名的應用軟件。

2、在下載應用程序之前,查看應用程序需要授權的權限,並了解其他用戶的評論。

3、建議在手機上安裝安全軟件,可以有效檢測並阻止惡意軟件,及時升級係統和app的版本。


* 本文翻譯自trendmicro,更多安全類熱點資訊及知識分享,請持續關注阿裏聚安全博客

最後更新:2017-06-15 10:31:56

  上一篇:go  阿裏配管專家解讀:如何最優成本搭建非標準的iOS構建集群
  下一篇:go  重磅!阿裏媽媽首次公開自研CTR預估核心算法MLR