不友善的间谍软件——BusyGasper

TRex 系统安全 2018年9月11日发布

导语:卡巴斯基发现了名为BusyGasper的Android恶意软件,它并不复杂,但拥有一些不同寻常的功能。

在2018年初,我们的移动入侵检测技术是由一个可疑的Android样本触发的,事实证明,该样本属于一个未知的间谍软件家族。进一步的调查显示,名为BusyGasper的恶意软件并不是那么复杂,但它展示了一些不同寻常的功能。从技术角度来看,样本是一种独特的间谍植入程序,具有突出的功能,例如设备传感器监听器,包括已经实现了一定程度原创性的运动检测器。它具有令人难以置信的广泛协议(大约100个命令),并且能够绕过Doze节电器。作为一款现代Android间谍软件,它还能够从消息应用程序(WhatsApp,Viber,Facebook)中提取数据。此外,BusyGasper拥有一些键盘记录工具——恶意软件处理用户提供每个点击,收集其坐标和计算字符,方法是将给定值与硬编码值匹配。

该样本具有多组件结构,可以从其C&C服务器下载有效载荷或更新,这恰好是属于免费俄语网络托管服务商Ucoz的FTP服务器。值得注意的是BusyGasper支持在Android恶意软件中很少见到的IRC协议。此外,恶意软件可以登录攻击者的电子邮件收件箱,在特殊文件夹中解析电子邮件以获取命令,并通过电子邮件附件将任何有效载荷保存到设备中。

此特定行动自2016年5月左右开始一直活跃至今。

一、感染向量和受害者

在寻找感染载体时,我们没有发现鱼叉式网络钓鱼或其他常见载体。但是一些线索,例如存在用于操作控制的隐藏菜单,指向手动安装方法 – 攻击者使用对受害者设备的物理访问来安装恶意软件。这可以解释受害者的数量(其中不到10个),根据我们的检测统计数据,它们都位于俄罗斯。

出于好奇,我们继续搜索,发现了更多有趣的线索,可以揭示有关受感染设备所有者的一些详细信息。在攻击者的FTP服务器上带有命令的几个TXT文件包含了可能由犯罪分子添加的受害者名称的标识符:

1.png

其中一些听起来像俄罗斯名字:Jana,SlavaAl,Nikusha。

正如我们从FTP转储分析中所知,有一个来自ASUS(华硕)固件的组件,表明攻击者对华硕设备的兴趣,这解释了提到“ASUS”的受害者文件名。

从电子邮件帐户收集的信息提供了许多受害者的个人数据,包括来自IM应用程序的消息。

2.png

收集到的其他数据包括银行短信信息,其中显示余额超过10,000美元的账户。但据我们所知,此次行动背后的攻击者并不想窃取受害者的钱。

我们发现BusyGasper与商业间谍软件产品或其他已知的间谍软件变体没有任何相似之处,这表明BusyGasper是由一个威胁行为者自行开发和使用的。同时,缺乏加密,使用公共FTP服务器和低opsec级别可能表明恶意软件的幕后黑手不太熟练。

二、技术细节

以下是观察到的样本、证书和硬编码版本标记的元信息:

11.png

有趣的是,发行者“Sun”与来自FTP服务器的受感染设备的“Sun1”和“Sun2”标识符匹配,表明它们可能是测试设备。

分析的植入程序具有复杂的结构,目前我们已观察到两个模块。

(一)第一个模块

第一个模块安装在目标设备上,可以通过IRC协议进行控制,并通过从FTP服务器下载有效载荷来部署其他组件:

@install command

从上面的屏幕截图中可以看出,一个新组件被复制在系统路径中,但如果没有root权限,则无法进行此操作。在撰写本文时,我们没有证据表明利用漏洞来获取root权限,尽管攻击者可能会使用一些看不见的组件来实现此功能。

以下是第一个模块可以执行的可能命令的完整列表:

111.png

植入程序在其组件之间使用复杂的通信机制来广播命令:

BusyGasper组件之间关系的近似图

(二)第二个模块

此模块将命令执行历史记录的日志写入名为“lock”的文件,该文件稍后将被删除。下面是日志的片段:

使用指定的命令记录

日志文件可以上传到FTP服务器并发送到攻击者的电子邮件收件箱。甚至可以通过短信向攻击者的号码发送日志消息。

如上面的屏幕截图所示,恶意软件有自己的命令语法,?表示字符组合,而“#”符号是分隔符。有关描述的所有可能命令的完整列表可以在下面的附录II中找到。

恶意软件具有现代间谍软件的所有流行功能。以下是最值得注意的描述:

·  植入程序能够监视所有可用的设备传感器并记录已注册的事件。此外,加速计有一个特殊的处理程序,可以计算和记录设备的速度:

·  此功能特别用于使设备静音的命令“tk0”,禁用键盘锁,关闭亮度,使用唤醒锁并侦听设备传感器。这允许它静默地执行任何后门活动,而无需用户知道设备处于活动状态。一旦用户拿起设备,植入程序将检测到运动事件并执行“tk1”和“input keyevent 3”命令。

·  “tk1”将禁用“tk0”命令的所有效果,而“input keyevent 3”是模拟按下“home”按钮的shell命令,因此所有当前活动将被最小化,用户不会产生任何怀疑。

·  启用(GPS /网络)跟踪的位置服务:

·  电子邮件命令和控制协议。植入程序可以登录攻击者的电子邮件收件箱,在特殊的“Cmd”文件夹中解析电子邮件以获取命令,并通过电子邮件附件将任何有效负载保存到设备中。

访问攻击者收件箱中的cmd文件夹

·  此外,它可以通过电子邮件从受害设备发送指定文件或所有收集的数据。

·  紧急SMS命令。如果传入的SMS包含以下魔术字符串之一:“2736428734”或“7238742800”,恶意软件将执行多个初始命令:

三、键盘记录

键盘记录以原始方式实现。

激活后,恶意软件会立即在新窗口中创建一个textView元素,其中包含以下布局参数:

所有这些参数确保元素对用户隐藏。

然后它将onTouchListener添加到此textView,并能够处理每个用户点击。

有趣的是,有一个录音活动的白名单:

ui.ConversationActivity
ui.ConversationListActivity
SemcInCallScreen
Quadrapop
SocialPhonebookActivity

监听器只能使用坐标进行操作,因此它通过将给定值与硬编码值匹配来计算按下的字符:

此外,如果有预定义的命令,键盘记录器可以截取显示的区域:

四、手动访问和操作菜单

有一个隐藏菜单(Activity)用于控制植入程序特征,看起来像是为手动操作控制而创建的。要激活此菜单,操作员需要从受感染的设备中调用硬编码的数字“9909”:

然后隐藏的菜单会立即显示在设备显示屏上:

操作员可以使用此接口键入任何要执行的命令。它还显示当前的恶意软件日志。

五、基础设施

FTP服务器

攻击者使用ftp://213.174.157 [.] 151 /作为命令和控制服务器。IP属于免费的俄罗斯网络托管服务商Ucoz。

11111111111.png

用于植入程序组件的SuperSU配置片段和busybox工具supersu.cfg:

此配置允许植入程序静默使用所有root特征。

bdata.xml文件的内容:

可以将其添加到/system/etc/sysconfig/路径,以便从电池省电系统将指定的植入程序组件列入白名单。

Email帐户

样本代码中提到了一个带密码的Gmail帐户:

它包含受害者的泄露数据和“cmd”目录,其中包含受害设备的命令。

附录I: IoC

MD5

9E005144EA1A583531F86663A5F14607
18ABE28730C53DE6D9E4786C7765C3D8
2560942BB50EE6E6F55AFC495D238A12
6C246BBB40B7C6E75C60A55C0DA9E2F2
7C8A12E56E3E03938788B26B84B80BD6
9FFC350EF94EF840728564846F2802B0
BDE7847487125084F9E03F2B6B05ADC3

C2

ftp://213.174.157[.]151/

本文翻译自:https://securelist.com/busygasper-the-unfriendly-spy/87627/如若转载,请注明原文地址: http://www.4hou.com/system/13396.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论