樣本在執行過程中為了迷惑使用者會安裝內建的正規APK,真正的惡意程式則隱匿執行,使用者在此過程中一般感覺不到異常,從而竊取使用者簡訊、聯絡人、通話記錄、地理位置、鍵盤記錄、檔案目錄、應用資訊、手機韌體資訊、錄音、錄影、截圖、撥打電話、傳送簡訊等。
基於奇安信的多維度大資料關聯分析,我們已經發現國內有使用者中招,為了防止危害進一步擴散,我們對該遠控木馬進行了詳細分析,並給出解決方案。
MobiHokRAT簡介MobiHok最早在2019年七月份在地下論壇中被發現,售賣者名為“Mobeebom”,除了在多個阿·拉伯語地下論壇活躍之外,售賣者還通過FaceBook、youtube進行宣傳,在FaceBook進行宣傳時同樣使用了阿拉伯文。
YouTube中拍攝了各個版本的執行視訊和一些安全機制繞過方法:
目前V4版本已經免費,在其官網上可以下載,其餘版本收費情況如下,價格不菲:
相關證據表明在V4版本免費之後,國內使用該家族的團伙逐漸變多,且V4版本就可以繞過華為、三星、Google Play安全機制和FaceBook身份驗證。奇安信監控的資料如下:
V4版本主控端介面如下:
Mergin App項中可以嵌入任意正規APP。
樣本分析相關樣本如下:
申請的許可權:
該遠控APK木馬功能複雜,在執行過程中會執行內建正規Apk軟體來迷惑使用者,可以從資源中dump出正規的apk檔案:
安裝後為作業幫app:
而木馬則在手機中隱祕執行,監聽電池變化的廣播,每當電池電量有變化時,計算百分比,並獲取充電型別:
獲取手機網路連結型別:
測試是否能訪問www.google.com:
檢視螢幕保護的狀態:
會靜默安裝內建的正規APP,並啟動:
kforniwwsw0類作為服務在MainActivity中被呼叫,連線遠端C2伺服器:
遠控功能列表整理如下
指令引數 指令功能 calls_delete 刪除通話記錄 OpenApp 開啟指定app KeyStart 配置相關 ViewFile 檔案檢視 WriteFiles 檔案寫入 fcbkopen() 建立子目錄 ConnectedDownloadManager 指定URL下載者 AccountManager() 賬戶管理 MicrophoneStop() 麥克風停止 ViewFileVideoPlay 瀏覽視訊檔案 PlayStop 停止播放 Apps() 列舉安裝的app DelLog 刪除日誌 GetLog 獲取日誌 gglopen() 獲取指定app資訊 SaveEdit 儲存編輯 REHost 修改Host StartServiceGLocation() 啟動位置服務 CompressFiles 壓縮檔案 DownManager 下載者 CallsManager() 通話記錄管理 DDownManager Socket管理 WinCall 聯網環境下電話呼入撥出 StartServiceCamera 開啟攝像頭服務 contacts_delete 聯絡人刪除 Microphone20() 麥克風相關 deleteFiles 刪除檔案 Terminal 遠端終端 SetWallpaper 設定手機背景牆 FileManager2 檔案管理 FileDelete 檔案刪除 Microphone() 麥克風相關 ContactsManager() 聯絡人管理 properties 獲取properties檔案 FileMove 檔案移動 FileRename 檔案重新命名 FSettings 獲取裝置相關資訊 _VibratorOff 設定相關 contacts_write 新增聯絡人 FUN 惡搞相關 FControl 控制音量、藍芽、GPS、WIFI等功能 AmDPM 修改鎖屏密碼 FileManager 檔案管理 toast 彈框 unzip 解壓縮 PlayStart 開始播放 FindCamera() 尋找攝像頭裝置 SMSManager 簡訊管理 key_logger 鍵盤記錄 ListenMicrophone 麥克風監聽 FileStart 彈出檔案 FileWrite 檔案寫入 ViewFileVideoBreak() 視訊相關 StopServiceGLocation() 停止定位服務 KeyStop 設定相關 CallPhone 撥打電話 _Vibrator 設定相關 chatOpen 開啟聊天框 chat_set 聊天設定 edithost 修改Host EditFile 修改檔案 SetParameters 設定攝像頭引數 StopServiceCamera() 停止攝像頭服務 InfDownManager 下載者
相關的遠控操作:
相關功能程式碼:
FSettings獲取本機裝置相關資訊,如手機號、SDK_INT、Language、Siminfo、IMSI、IMEI、MAC、SSID、RSSI等相關資訊:
獲取當前音訊模式:
獲取手機攝像頭相關資訊:
獲取通話記錄相關資訊。姓名、電話號、型別、持續時間:
錄音功能:
檔案管理:
音訊管理:
鍵盤記錄:
下載者:
獲取聯絡人資訊:
撥號功能:
新增新聯絡人:
總結近年來,諸如SpyNote、AhMyth、AndroRAT等安卓遠控相繼免費甚至公開原始碼,黑產向移動端轉型的成本大大降低,相比於PC端的遠控,安卓遠控在地下論壇中售價較為便宜,1500-2500不等,有些中間商甚至使用開源的遠控框架不做任何免殺就在地下論壇進行販賣。
奇安信病毒響應中心提醒使用者不要安裝未知來源的APP,同時提高個人的安全意識,從而可以防止使用者隱私資訊被盜取的風險,目前奇安信威脅情報中心檔案深度分析平臺,奇安信病毒響應中心會移動安全團隊會持續對新型遠控框架的跟蹤,目前奇安信威脅情報中心檔案深度分析平臺
(/file/2020/01/21/20200121144600_9158.jpg