控制指令高达二十多种:远控木马Dendoroid.B分析报告

标签: 终端安全 | 发表时间:2015-04-24 18:16 | 作者:360手机卫士
出处:http://www.freebuf.com

近期,360团队截获了一款功能强大的专业间谍软件,它可以通过PC端远程控制中招用户的手机,控制指令高达二十多种,窃取用户手机通讯录,短信,照片及其它重要隐私数据。这个远控木马与去年知名的Android.Dendoroid木马家族手段非常相似,所以我们将其命名为Android.Dendoroid.B。

一、木马Android受控端恶意行为分析

1.释放文件,隐藏图标,启动恶意服务

Android.Dendoroid.B启动后会根据系统版本释放自身Assets目录下的testv7或testv5文件到/data/data/{packagename}目录下重命名为test;申请Root权限,释放su后门文件ssu到/system/bin目录下。隐藏自身图标,运行test文件:

test为ELF文件,主要功能为通过命令行的方式启动恶意服务WorkServer:

2.频繁结束安全软件进程

我们发现该木马在各处重要的恶意行为节点上频繁地结束国内主流安全软件进程,破坏安全软件正常运行,木马的自我保护给用户手机带来更大安全风险:

能够结束以下安全软件:   

3.通话过程中自动录音

通过监控电话状态改变,来实现通话录音,每当被控手机来电时,木马会自动开启录音功能,并保存录音文件:

4.通过联网获取指令的方式实现远程控制

通过向中招手机发送不同的指令,以达到相应的行为控制。指令名称、功能及向PC端返回的响应如下表:

 

5.暂未实现的其它功能

木马受控端除了以上这些功能,我们还在代码中发现了解密微信聊天记录的部分代码,以及通过短信指令远程控制的代码,但该部分代码未被调用:

二、FTP服务器分析

从上面的指令列表中,可以发现隐私数据大部分都被上传到了病毒作者的FTP服务器,地址为121.199.2*.***,用户名和密码为root,登录进去后,FTP中的文件列表如下:

在服务器中我们发现并梳理了以下几个重要的文件,其中一些文件是已经从用被监控手机中实际上传的用户隐私:

其中bf.zip中是一个工程名为“SimpleServer”的Java代码,我们通过分析这个工程代码发现其主要功能是为了解析PC主控端与手机APK受控端之间的通信,关系如图:

解析Android受控端发送的指令的代码:

解析PC主控端发送指令的代码:

另一个文件“muma.rar”以“木马”拼音命名不得不引起我们的关注,我们发现这个里面有大量.php文件并且发现了下面这个图片,由此可以看出这正是去年我们播报过的Android.Dendoroid的源码,这也是我们将该木马命名为Android.Dendoroid.B的另一个原因。

三、木马PC主控端分析

FTP上的PE文件MySocketServer.exe是木马Android.Dendoroid.B的主控端,主控端用于发送远控指令和接收受控端返回的隐私信息。

我们在实际验证中点击了联系人按钮,很快返回了中招用户手机中的联系人列表:

另外,我们还在该软件上发现了一个网址 http://www.yunkong8.com/ ,该网址显示是一个专业的监控类软件售卖的网站,软件功能页面中介绍可以用手机或者使用其他电脑浏览网页来远控指定的PC客户端,网站中没有提到可以通过PC端远控手机端,我们猜测这有可能是未公开的软件功能或是定制版本。

四、感染用户

根据360互联网安全中心数据显示,最近两个月里有若干用户感染了该木马,地区包括:蚌埠、荆州、武汉、海口。

五、关于病毒作者

从受控端样本代码中发现,我们还在一个未调用的Mail类中,发现了一个QQ邮箱:84777****@qq.com,该类无任何调用,通过360全量样本的大数据的计算回查,发现该QQ邮箱曾用在了多个恶意样本中,而这些样本具有相同的Mail类并能够被正常调用。因此可以得出,该木马是经过了不断演变进化的,历史上曾经使用邮件的方式窃取用户隐私,而当前已经演变成使用FTP窃取回传隐私,回传的内容更加丰富,方式更加隐蔽

针对此qq号我们进行了追寻,发现是来自四川泸州昵称为“老A”的程序员。

通过进一步追踪,定位到了“老A”的具体信息:

杨**(常用昵称:lzyyf,老A)

2010级泸州二中

2013年9月至2017年9月,就读韩国蔚山大学

曾经使用另一QQ号:139*******,并曾经于2014年初在多个论坛中扩散类似木马

在他的微博中也多次发布木马信息:

通过360后台云查信息等大数据分析,我们发现还有其他的一些人员也与木马有关,猜测可能是买马人。

手机串号              所在地

35291106045****    中国 东北 黑龙江省 哈尔滨市

35713905461****     中国 华南 广东省 深圳市

35260505594****     中国 华东 江西省 南昌市

六、总结

从Android.Dendoroid.B木马家族可以看出,这种伪装成系统应用的远控类隐私窃取木马家族,不是依靠第三方市场传播而是通过网站售卖或地下黑产交易,然后被不法人员植入到指定的监控对象中,它具备单点传播,感染特定对象,潜伏时间长,造成单点损失大等特点。建议用户提高个人隐私保护意识,同时安装安全软件定期扫描检查软件安全性。

我们将继续紧密关注这类木马家族的发展并提供安全保护方案。 

*参考来源 《安卓远控木马黑色产业链渐成气候,谨防手机变“肉鸡”》,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

相关 [控制 指令 高达] 推荐:

控制指令高达二十多种:远控木马Dendoroid.B分析报告

- - FreeBuf.COM | 关注黑客与极客
近期,360团队截获了一款功能强大的专业间谍软件,它可以通过PC端远程控制中招用户的手机,控制指令高达二十多种,窃取用户手机通讯录,短信,照片及其它重要隐私数据. 这个远控木马与去年知名的Android.Dendoroid木马家族手段非常相似,所以我们将其命名为Android.Dendoroid.B.

中国Android恶意程序把博客作为指令控制服务器

- Woooon - Solidot
趋势科技发现了在中国Android第三方应用商店传播的新恶意程序,利用了一种新的技巧接收指令. 该恶意程序伪装成电子书阅读器“万阅公寓”,通过Android第三方应用商店下载传播. 在安装前,它会要求用户许可访问网络、个人信息、电话和系统工具等. 如果这些许可获得批准,它将能控制手机,包括唤醒手机、阅读日志文件,联系人信息,接收和发送SMS.

Nginx带宽控制

- - 火丁笔记
有个老项目,通过 Squid 提供文件下载功能,利用  delay_parameters 实现带宽控制,问题是我玩不转 Squid,于是盘算着是不是能在 Nginx 里找到类似的功能. 好消息是 Nginx 提供了  limit_rate 和  limit_rate_after,举个例子来说明一下:.

Proftpd.conf 配置指令手册(中文)

- 桔子 - Wow! Ubuntu
论功能确实 proftpd 最为强大,以下为 proftpd.conf 的配置指定手册,呵呵,只有简短的说明啊. -------------------------------------------------------------------- AccessDenyMsg -- 访问拒绝的信息提示(530).

超实用Android手机指令大全

- MZ - 乐淘吧
【超实用Android手机指令大全】快速设定手机,快速查看手机,全部都告诉你,Android手机用户一定要保存的Android手机指令大全. 我用android手机一定是好男人. [博海拾贝]有时候,最痛苦的不是失去,而是得到以后不快乐. [博海拾贝]与其诅咒黑暗 不如点起一根蜡烛.  » 非特殊声明本站所有文章,图片,视频全部来自网络,如有侵权>,请通知本站.

Javaer 运维指令合集(快餐版)

- - IT瘾-dev
这年头,大家都喜欢吃快餐,虽不健康,但是奈何真香. 这里我把经常使用的运维指令总结成一套指令快餐. 之所以称之为快餐是因为每个指令都是简单的一句或者两句话的简介. 注意很多指令用法奇多,文中不会一一列出. 查看系统整体情况,包括CPU,内存,负载等等. 也可以这样 top -H -p pid查看某个进程下的线程情况.

Firebug控制台详解

- boho - 阮一峰的网络日志
Firebug是网页开发的利器,能够极大地提升工作效率. 我曾经翻译过一篇《Firebug入门指南》,介绍了一些基本用法. 控制台(Console)是Firebug的第一个面板,也是最重要的面板,主要作用是显示网页加载过程中产生各类信息. Firebug内置一个console对象,提供5种方法,用来显示信息.

HBase 之访问控制

- gengmao - Trend Micro CDC SPN Team
构建和运维HBase集群是一个非常有挑战性的工作. HBase凭借其在海量数据的良好的扩展性和高效的读写能力,受到越来越多公司的重视. 在公司里,HBase越来越受欢迎. 希望通过HBase读写数据的产品越来越多,在兴奋之余,头疼的问题也来了. 毕竟,作为线上的产品,我们不希望过多人随意的访问,会照成很多潜在的风险,比如误删,误操作.

当算法控制世界

- 芸窗 - Solidot
BBC的报导称,看不见的算法正在控制我们在数字世界里的互动,而糟糕的是我们正失去对这些代码的控制. 从图书和电影推荐算法,到Facebook的朋友推荐和图像标记服务,到搜索引擎,算法已经渗透到了我们生活之中. 在上月的TED大会上,算法专家Kevin Slavin描述了算法是如何塑造我们的世界,他发出警告,我们生的活正日益为算法所控制,我们正在编写我们无法理解的,可能不受控制的代码.

高并发库存控制

- - 企业架构 - ITeye博客
1、在秒杀的情况下,肯定不能如此高频率的去读写数据库,会严重造成性能问题的. 必须使用缓存,将需要秒杀的商品放入缓存中,并使用锁来处理其并发情况. 当接到用户秒杀提交订单的情况下,先将商品数量递减(加锁/解锁)后再进行其他方面的处理,处理失败在将数据递增1(加锁/解锁),否则表示交易成功. 当商品数量递减到0时,表示商品秒杀完毕,拒绝其他用户的请求.