样本在执行过程中为了迷惑用户会安装内置的正规Apk,真正的恶意程序则隐匿执行,用户在此过程中一般感觉不到异常,从而窃取用户短信、联系人、通话记录、地理位置、键盘记录、文件目录、应用信息、手机固件信息、录音、录像、截屏、拨打电话、发送短信等。
基于奇安信的多维度大数据关联分析,我们已经发现国内有用户中招,为了防止危害进一步扩散,我们对该远控木马进行了详细分析,并给出解决方案。
MobiHokRAT简介
MobiHok最早在2019年七月份在地下论坛中被发现,售卖者名为“Mobeebom”,除了在多个阿·拉伯语地下论坛活跃之外,售卖者还通过FaceBook、youtube进行宣传,在FaceBook进行宣传时同样使用了阿拉伯文。
YouTube中拍摄了各个版本的运行视频和一些安全机制绕过方法:
目前V4版本已经免费,在其官网上可以下载,其余版本收费情况如下,价格不菲:
相关证据表明在V4版本免费之后,国内使用该家族的团伙逐渐变多,且V4版本就可以绕过华为、三星、Google Play安全机制和FaceBook身份验证。奇安信监控的数据如下:
V4版本主控端界面如下:
Mergin App项中可以嵌入任意正规APP。
样本分析
相关样本如下:
申请的权限:
该远控APK木马功能复杂,在执行过程中会运行内置正规Apk软件来迷惑用户,可以从资源中dump出正规的apk文件:
安装后为作业帮app:
而木马则在手机中隐秘执行,监听电池变化的广播,每当电池电量有变化时,计算百分比,并获取充电类型:
获取手机网络链接类型:
测试是否能访问www.google.com:
查看屏幕保护的状态:
会静默安装内置的正规APP,并启动:
kforniwwsw0类作为服务在MainActivity中被调用,连接远程C2服务器:
远控功能列表整理如下
指令参数 指令功能 calls_delete 删除通话记录 OpenApp 打开指定app KeyStart 配置相关 ViewFile 文件查看 WriteFiles 文件写入 fcbkopen() 创建子目录 ConnectedDownloadManager 指定URL下载者 AccountManager() 账户管理 MicrophoneStop() 麦克风停止 ViewFileVideoPlay 浏览视频文件 PlayStop 停止播放 Apps() 枚举安装的app DelLog 删除日志 GetLog 获取日志 gglopen() 获取指定app信息 SaveEdit 保存编辑 REHost 修改Host StartServiceGLocation() 启动位置服务 CompressFiles 压缩文件 DownManager 下载者 CallsManager() 通话记录管理 DDownManager Socket管理 WinCall 联网环境下电话呼入呼出 StartServiceCamera 开启摄像头服务 contacts_delete 联系人删除 Microphone20() 麦克风相关 deleteFiles 删除文件 Terminal 远程终端 SetWallpaper 设置手机背景墙 FileManager2 文件管理 FileDelete 文件删除 Microphone() 麦克风相关 ContactsManager() 联系人管理 properties 获取properties文件 FileMove 文件移动 FileRename 文件重命名 FSettings 获取设备相关信息 _VibratorOff 设置相关 contacts_write 添加联系人 FUN 恶搞相关 FControl 控制音量、蓝牙、GPS、WIFI等功能 AmDPM 修改锁屏密码 FileManager 文件管理 toast 弹框 unzip 解压缩 PlayStart 开始播放 FindCamera() 寻找摄像头设备 SMSManager 短信管理 key_logger 键盘记录 ListenMicrophone 麦克风监听 FileStart 弹出文件 FileWrite 文件写入 ViewFileVideoBreak() 视频相关 StopServiceGLocation() 停止定位服务 KeyStop 设置相关 CallPhone 拨打电话 _Vibrator 设置相关 chatOpen 打开聊天框 chat_set 聊天设置 edithost 修改Host EditFile 修改文件 SetParameters 设置摄像头参数 StopServiceCamera() 停止摄像头服务 InfDownManager 下载者
相关的远控操作:
相关功能代码:
FSettings获取本机设备相关信息,如手机号、SDK_INT、Language、Siminfo、IMSI、IMEI、MAC、SSID、RSSI等相关信息:
获取当前音频模式:
获取手机摄像头相关信息:
获取通话记录相关信息。姓名、电话号、类型、持续时间:
录音功能:
文件管理:
音频管理:
键盘记录:
下载者:
获取联系人信息:
拨号功能:
添加新联系人:
总结
近年来,诸如SpyNote、AhMyth、AndroRAT等安卓远控相继免费甚至公开源代码,黑产向移动端转型的成本大大降低,相比于PC端的远控,安卓远控在地下论坛中售价较为便宜,1500-2500不等,有些中间商甚至使用开源的远控框架不做任何免杀就在地下论坛进行贩卖。
奇安信病毒响应中心提醒用户不要安装未知来源的APP,同时提高个人的安全意识,从而可以防止用户隐私信息被盗取的风险,目前奇安信威胁情报中心文件深度分析平台,奇安信病毒响应中心会移动安全团队会持续对新型远控框架的跟踪,目前奇安信威胁情报中心文件深度分析平台
(https://sandbox.ti.qianxin.com/sandbox/page)已支持Android样本分析:
同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对该家族的精确检测。
转载自FreeBuf.COM
最后,小编想说:我是一名python开发工程师,
整理了一套最新的python系统学习教程,
想要这些资料的可以关注私信小编“01”即可(免费分享哦)希望能对你有所帮助
,