RuMMS恶意软件重出江湖了 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

RuMMS恶意软件重出江湖了

lucywang 移动安全 2018-06-11 10:43:45
264828
收藏

导语:2016年新型安卓恶意软件家族RuMMS利用短信钓鱼攻击了很多俄罗斯地区的用户。如今,RuMMS恶意软件又回来了,而且攻击功能又大大的增强了。

360截图16270831513543.jpg

RuMMS恶意软件不仅又回来了,而且攻击功能又大大的增强了。2016年新型安卓恶意软件家族RuMMS就已经利用短信钓鱼攻击了俄罗斯地区的用户。

最近,美国网络安全公司Zscaler的ThreatLabZ团队发现了一个恶意软件,这个恶意软件是在一个名为mmsprivate[.]的虚假MMS网站上发现的。该网站都是一些色情照片,从而引诱受害者对其进行访问。当受害者访问时,该网站就会发出这样的提示:“如果你想观看更多劲爆内容,就请接受我们的协议”。当用户点击同意后,恶意Android软件包(APK)就将自动下载到被攻击者的手机中。恶意软件将自己伪装成Сooбщениe(可见是只针对俄罗斯地区的用户),其翻译成英文就是Messages的意思,并通过利用Android AccessibilityService执行其恶意功能,Android AccessibilityService可帮助残障人士使用Android设备和应用程序。然后。攻击时,恶意软件会隐藏自己,以监视用户。

在分析时,ThreatLabZ团队发现它与FireMye研究人员2016年发现的名为RuMMS的恶意软件相似,只是进行了一些修改。该新版本包含各种增强功能,因此ThreatLabZ团队将其称之为RuMMS 2.0版。

RuMMS 2.0的简单介绍

· 应用程序名称:Сooбщениe

· 哈希:c1f80e88a0470711cac720a66747665e

· Android软件包名称:ru.row.glass

RuMMS 2.0的下载和安装

恶意软件通过网站mmsprivate[.]site/feel/进行传播,并且很可能通过短信或电子邮件的形式。一旦用户点击链接,该软件就会诱使受害者点击一个按钮,植入恶意APK。这时托管在URL上的内容是采用的俄文,你可以在下图中查看翻译后的说明。

1.png

执行APK下载的初始URL

该APK来自一个未知源,由于Android系统不允许直接安装,因此只需通过简单点击即可启用“未知来源”选项来安装恶意应用程序。下图从左至右,显示了每一步安装过程。

2.png

从未知来源安装

启用AccessibilityService

安装完成后,应用程序将自己伪装成一个消息应用程序(如下面所示)。在第一次使用时,应用程序会重新定向受害者,以启用Android AccessibilityService。一旦Android AccessibilityService启用,应用程序将从主屏幕上消失,隐藏到后台。

3.png

AccessibilityService的启用

如果受害者的AccessibilityService未被启用,则恶意软件将持续出现在屏幕上(上图中的第二个屏幕截图),以诱导受害者启用该服务。

一旦启用AccessibilityService,恶意软件就会启动,使短信成为默认的消息传递渠道。通过使用AccessibilityService的功能,在确认该应用程序所发送的消息是否静默时,后台会自动选择“Yes”,如下图所示,用户将无法看到这个消息框,因为所有的操作都是在后台悄然进行的。

4.png

运行中的AccessibilityService

通讯机制

研究人员的调查显示,一旦初始设置完成,恶意软件就会开始向命令和控制(C&C)服务器发送详细信息,C&C的细节被硬编码。来自C&C的请求和响应使用Base64编码。下图显示了正在发送和接收的解码值:

5.png

第一次请求

上图显示了受害者设备回传给C&C的详细信息,C&C用命令“40”和应用程序名称回复。请注意命令“40”是用于禁用应用程序的。

6.png

初始响应

以本文的RuMMS 2.0为例,要禁用的应用程序列表中,还包含了各种杀毒软件,其中包括:

· Trend Micro 

· Dr.Web

· AhnLab

· Avira

· Sophos

· McAfee

· F-Secure

恶意软件这么做的目的就是要确保所有这些安防软件都不可操作。一旦受害者试图打开其中一个应用程序,恶意软件会立即关闭它。它的行为类似于一个臭名昭著的攻击俄罗斯银行Sber Bank的木马,当时该木马在攻击Sber Bank的应用程序时,也是不允许任何安防软件打开。

用户发送和盗取的信息短信

安装完毕后,恶意软件会等待来自C&C服务器的命令,并由此开始各种攻击。正如下面展示样本那样,研究人员发现命令 “11”被用于发送短信,这个短信可以发送到到任何的手机上,至于短信内容,则由C&C控制。

7.png

包含短信命令的响应

经过进一步分析,研究人员还发现恶意软件能窃取受害者手机上的短信,另外该功能还可用于窃取与银行相关的一次性密码代码(这样双重因素验证就不管用了)和其他相关信息。下图展示了此功能的实际用处:

8.png

窃取短信消息

盗取手机上的通讯录

该恶意软件还能够窃取受害者手机上的通讯录,这一恶意功能是用来进一步传播恶意软件的一种著名技术,叫做SMS-Phishing (或SMiShing)。

9.png

盗取手机上的通讯录 

呼叫功能

该恶意软件还具有通话功能,在下面的例子中,被拨出的号码是以C&C服务器以编码的方式发送过来的。

10.png

呼叫功能的实现

研究人员注意到的一个更有趣的事情是恶意软件传播的方式,每当研究人员访问链接时,他们都会看到一个新的恶意应用程序,这些应用程序的功能和RuMMS 2.0一模一样,只是具有不同的应用程序名称,不同的软件包名称,甚至使用不同的Android证书签名。研究人员还发现,应用程序具有不同的C&C服务器,其格式为http://<domain-name>.com/<random-chars>/index.php。 以下为研究人员发现的与C&C服务器关联的域名:

11.jpg

总结

RuMMS 2.0具有很多增强功能和更新的功能,目前迭代的RuMMS已经全面投入使用。在2018年5月的最后10天,Zscaler ThreatlabZ团队发现了580多个类似的应用程序,已在野外被利用。因此,小编建议清除未知链接,不要相信任何通过短信或电子邮件收到的可疑网址,只能从官方应用商店下载应用。另外,580多个类似的应用程序的完整列表可以在这里找到。

  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2024 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务