伪装大师——XLoader新变种分析

在之前的攻击活动中，XLoader伪装成Facebook, Chrome和其他合法应用来引诱用户下载其恶意App。Trend Micro研究人员近日发现一个使用新方法来诱骗用户的XLoader新变种。该XLoader变种伪装成安卓设备的安全App，并使用恶意iOSProfile来影响iPhone和iPad设备。除了实现技术的变化外，代码也有一些变化。最新的变种为XLoader version 6.0。

感染链

攻击者使用一些伪造的网站作为主机来诱骗用户下载伪造的安卓安全应用程序（APK文件），伪造的网站主要是一家日本的手机运营商的网站。通过监控伪造的网站研究人员发现，伪造网站主要通过短信诈骗来传播。截止目前，并没有大规模感染，但研究人员发现有大量用户已经接收到了垃圾短信的内容。

图1. 存放XLoader的网站

之前的版本中，XLoader可以在PC机上进行挖矿，可以在iOS设备上进行账户钓鱼。这波新变种使用了新的攻击向量来攻击安卓和iOS设备。

对安卓设备，访问恶意网站或点击任意按钮都会弹出APK下载。但是要成功安装恶意APK需要用户开启允许未知来源安装设置。如果用户允许这类未知来源的App安装，那么恶意软件就会成功安装在受害者设备上了。

对苹果设备来说，感染链就稍微复杂点了。访问相同的恶意网站会将用重定向到另一个恶意站点（hxxp://apple-icloud[.]qwq-japan[.]com or hxxp://apple-icloud[.]zqo-japan[.]com），该站点会让用户用户安装恶意iOS配置文件来解决影响该站点加载的问题。如果用户安装了该文件，恶意站点就会打开，显示的是一个苹果的钓鱼页面，如图2所示。

图2. 针对iOS设备用户的恶意站点截图

技术分析

新XLoder变种的攻击方法基本与之前的版本相同。但研究人员分析发现与应用方法相关的代码有一些变化。

恶意APK

与之前的版本类似，XLoader 6.0滥用社交媒体用户介绍来隐藏真实的C2地址，但是攻击者这次使用的社交媒体是twitter，该平台在之前的攻击活动中并未出现过。真实的C2地址编码在Twitter name中，只有解码后才可以显示。这相当于加了一层来防止被检测到。这一特征的代码和对应的Twitter账户如图3和图4所示。

图3. 滥用twitter来隐藏真实C2地址的XLoader 6.0代码段

图4. 隐藏真实C2地址的Twitter页面

Version 6.0增加了一个C2命令getPhoneState，用于收集移动设备的唯一识别号，比如IMSI, ICCID, Android ID和设备序列号。考虑到XLoader的其他恶意行为，这一功能非常危险，因为攻击者可以利用收集的信息发起有针对性的攻击。

图5. XLoader 6.0增加新C2命令getPhoneState的代码段

恶意iOS Profile

对于苹果设备来说，下载的恶意iOS介绍会收集以下信息：

· Unique device identifier (UDID)

· International Mobile Equipment Identity (IMEI)

· Integrated Circuit Card ID (ICCID)

· Mobile equipment identifier (MEID)

· 版本号

· 产品号

Profile的安装过程根据iOS版本不同而不同。对v11.0到11.4，安装是直接进行的。如果用户访问profile主机网页并允许安装器下载，iOS系统会执行到Install Profile页面，然后请求用户的password以完成安装的最后一步。

图6. iOS 11.0和iOS 11.4的安装过程

对于iOS11.4之后的版本，安装过程是不同的。尤其是对iOS 12.1.1和iOS 12.2，profile下载后，iOS系统会首先要求用户在设置中查看profile，用户在设置中可以看到Profile Downloaded。这样用户就可以了解做出的变化。之后，安装过程与iOS 11.0和iOS 11.4的安装过程相同。

图7. iOS 12.1.1和iOS 12.2的安装过程

Profile安装后，用户就被重定向到另一个苹果钓鱼页面。钓鱼网站使用收集的信息作为GET参数，允许攻击者访问窃取的用户信息。

图8. Profile收集信息的代码

其他活动

进一步监控该威胁，研究人员发现了另一个伪装为成人应用的XLoader变种，该变种的攻击目标为韩国用户。APK名为porn kr sex，会在后台连接到运行XLoader的恶意网站。该网站使用一个不同的固定的twitter账户(https://twitter.com/fdgoer343)，该攻击好像只针对安卓用户。

图9. XLoader变种使用的成人网站截图

进一步监控发现该变种利用了社交媒体平台Instagram和Tumblr而不是Twitter来隐藏C2地址。研究人员将该变种标记为XLoader version 7.0。

FakeSpy

研究人员进一步分析发现了XLoader 6.0和FakeSpy之间的关联。首先是XLoader 6.0和FakeSpy使用了相似的实现技术，都克隆了合法的日本网站来保存恶意App，但克隆的网站不同。两款恶意软件对下载的文件、伪装网站的域名结构的命名方法和其他实现技术的细节都非常相似。

图10. XLoader (左)和FakeSpy(右)使用的恶意网站源代码

XLoader 6.0也镜像了FakeSpy隐藏真实C2服务器的方式。XLoader 6.0之前使用多个不同的社交媒体平台，现在还使用了Twitter，这与FakeSpy过去的攻击也是非常类似的。对恶意iOS profile的分析也表明这两款恶意软件之前存在关联，即该profile文件可以从FakeSpy今年早些时候使用的网站中下载。

结论

通过对XLoader的持续监控，研究人员发现其运营者在不断更新其特征，比如攻击向量实现基础设施和实现的技术。最新的记录表明更新活动正在进行中。除此之外，研究人员还发现了XLoader和FakeSpy在命名规则和攻击方法等方面非常相似，进一步表明了这两款恶意软件之间的内在关系以及与其背后的攻击者之间的关系。