开开 发表于 2011-2-18 09:29

Android木马HongTouTou(又名ADRD)分析报告

Android木马HongTouTou(又名ADRD)分析报告
安天实验室
2011.02.17
一、基本信息
病毒名称:Trojan/Android.Adrd.a
病毒别名: HongTouTou、ADRD
病毒类型:木马
样本MD5:A84997B0D220E6A63E2943DA64FFA38C
样本CRC32:A42850DE
样本长度:1,316,981 字节
原始文件名:Newfpwap_com_liveprintslivewallpaper.apk
出现时间:2011.01.27
感染系统:Android 2.0及以上
二、概述
ADRD木马(又名HongTouTou木马)被植入十余款合法软件中(图1),通过多家论坛、下载站点分发下载实现大范围传播。其主要行为包括:开启多项系统服务;每6小时向控制服务器发送被感染手机的IMEI、IMSI、版本等信息;接收控制服务器传回的指令;从数据服务器取回30个URL;依次访问这些URL,得到30个搜索引擎结果链接;在后台逐一访问这些链接;下载一个.apk安装文件到SD卡指定目录。感染该木马的手机将产生大量网络数据流量,从而被收取流量费用。攻击者通过增加搜索链接的访问量而获益。用户可以下载安天提供的Android恶意代码专查工具AVL PK for Android检测手机是否感染这一木马,并卸载相应软件将其清除。

图1正常软件与被植入木马的软件
三、样本特征
截止本分析报告发布,安天已经检测到ADRD木马(又名HongTouTou木马)被植入到下列Android软件:
        动态脚印动态壁纸Live Prints Live Wallpaper
        TurboFly 3D
        Robo 3
        iReader
        桌面时钟天气Fancy Widget Pro
        炫彩方块动态壁纸 Light Grid
        超级酷指南针
        指纹解锁
        夕阳轮廓动态壁纸
本报告涉及的样本中,ADRD木马被植入一款名为“动态脚印动态壁纸”(英文名“Live Prints Live Wallpaper”)的软件之中,于1月27日出现在国内所有主流手机论坛之中。被植入软件包括两部分:
1.        正常程序liveprints:
1)        服务LivePrints:android.service.wallpaper.WallpaperService
2)        Activity:.LivePrintsSettings
2.        恶意代码com.xxx.yyy:
1)        接收器com.xxx.yyy.MyBoolService,用于启动(android.intent.action.BOOT_COMPLETED)
2)        接收器com.xxx.yyy.MyAlarmReceiver,自定义行为(com.lz.myservicestart)
3)        接收器com.xxx.yyy.NetWorkReceiver,响应网络状态变化(android.net.conn.CONNECTIVITY_CHANGE)
4)        接收器com.xxx.yyy.CustomBroadCastReceiver,响应电话状态(android.intent.action.PHONE_STATE)
5)        服务 com.xxx.yyy.MyService
样本需要获取系统的以下权限(图2):
        读取通讯录数据
        对Internet的完全访问
        修改/删除SD卡的内容
        读取和修改通话状态
        写入APN(Access Point Name)设置
        查看网络状态,查看Wi-Fi状态
        开机时自动启动

图2样本需要多项系统权限
特征字符串包括:
        http://adrd.taxuan.net/index.aspx?im=
        http://adrd.xiaxiab.com/pic.aspx?im=
        http://wap.baidu.com/
        imeiimsi
        myupdate.apk
        UNINET
        UNIWAP
        cmnet
        cmwap
四、行为分析
接收器行为分析
1.        com.xxx.yyy.MyBoolService
木马通过这一接收器实现随系统开机而启动,然后发送com.lz.myservicestart广播消息,并设置一个2分钟后激活的Alarm。
2.        com.xxx.yyy.MyAlarmReceiver
接收到com.lz.myservicestart广播后,启动MyService服务。
3.        com.xxx.yyy.NetWorkReceiver
检查phone_start中的started标志,以判断MyService服务是否启动。如果没有,则将其启动。
4.        com.xxx.yyy.CustomBroadCastReceiver
当通话状态变为空闲(即通话结束),修改phone_start中的started标志状态为启动,并启动MyService服务。
5.        MyService
MyService启动后,首先尝试获取手机的IMEI和IMSI码。如果获取失败,等待6分钟后再次尝试。
下一步,查看网络连接状态。如果没有连接,则尝试打开网络连接。如果连接失败,则等待6分钟后再次尝试。访问APN设置中的配置信息,将其与”UNINET”、”UNIWAP”、”cmnet”、”cmwap”进行比较,以判断连接类型。
下一步,检查update_flag.xml中oldtime字段保存的样本上一次与控制服务器通信的时间,如果距离现在已经超过6小时,则搜集本机信息,再次向控制服务器发送数据,并更新oldtime(图3)。

图3样本每6小时向控制服务器发起连接
恶意行为分析
该样本的主要恶意行为图4所示。其中所有步骤均在后台运行,对用户不可见。

图4主要恶意行为示意图
1、        向控制服务器发送IMEI/IMSI和版本信息
MyService获取手机中的以下信息(图5):
        imei:被感染手机的IMEI码
        imsi:被感染手机的IMSI码
        iversion:样本版本,默认为1
        oversion:被感染的Android系统版本
        netway:取值1表示正常访问,取值0表示使用代理

图5获取IMEI和IMSI码
接下来按下列方式和顺序构建一个明文字符串<string>:
<string> = Imei + “&” + imsi + “&” + netway + “iversion” + “oversion”
用DES算法对上述字符串加密(使用密钥“48734154”),得到密文字符串<enstring>。然后将密文字符串与控制服务器地址组成一个完整的URL:
http://adrd.taxuan.net/index.aspx?im=<enstring>
最后,向这个URL发送一个HTTP POST请求,从而将加密了的手机IMEI、IMSI码和版本信息一起发送到控制服务器adrd.taxuan.net。
2、        从控制服务器接收控制指令
样本接收控制服务器adrd.taxuan.net的应答消息,应答的数据为DES加密的密文,使用密钥“48734154”解密,然后根据解密所得明文的第二个字符执行下一步操作:
指令0:当前函数将后续字符串返回给调用函数;
指令1:开始执行第3步(连接数据服务器);
指令2:当前函数将后续字符串返回给调用函数;
指令3:开始执行第8步(连接更新服务器)。
3、        向数据服务器发送IMEI/IMSI
按下列方式和顺序构建一个明文字符串<string>:
<string> = Imei + “&” + imsi
用DES算法对上述字符串加密(使用密钥“48734154”),得到密文字符串<enstring>。然后将密文字符串与数据服务器地址组成一个完整的URL:
http://adrd.xiaxiab.com/pic.aspx?im=<enstring>
最后,向这个URL发送一个HTTP POST请求,从而将手机IMEI、IMSI码发送到数据服务器adrd.xiaxiab.com。
4、        从数据服务器接收URL列表
样本接收数据服务器adrd.xiaxiab.com的应答消息,应答的数据为DES加密的密文,使用“48734154”解密,得到如下明文(中间部分省略):
B#1#963a_w1|http://59.173.12.105/g/g.ashx?w=963a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#961a_w1|http://59.173.12.105/g/g.ashx?w=961a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#964a_w1|http://59.173.12.105/g/g.ashx?w=964a_w1|1|
…………
http://59.173.12.105/add/pk.aspx$B#1#961a_w1|http://59.173.12.105/g/g.ashx?w=961a_w1|1|http://59.173.12.105/add/pk.aspx$
其中包含30条记录,以第一条记录为例,各字段含义为:
字段取值        含义
B        开始界定符
1        期望访问次数docount
963a_w1        标识identity
http://59.173.12.105/g/g.ashx?w=963a_w1        关键词服务器URL gwurl
1        hmul
http://59.173.12.105/add/pk.aspx        prul
$        结束界定符
需要指出的是,获取的这30条记录在多次分析中均保持稳定,与发送到数据服务器的IMEI、IMSI码无关。
其中,我们将字符串gwurl称之为关键词服务器URL。关键词服务器的IP地址为59.173.12.102,在这30条记录中,服务器网址还以g.gxsmy.com的形式出现。
5、        多次访问关键词服务器
解析了30条记录后,样本获得30个不同的关键词服务器URL。接下来,它以1秒一次的频率依次访问这些URL(在HTTP请求中,refer字段被设置为记录中的prul值)。
6、        获得关键词和搜索链接
关键词服务器g.gxsmy.com返回给样本的数据具有如下形式:
1|http://wap.baidu.com/s?word=%e8%9d%8e%e5%ad%90&vit=uni&from=963a_w1
以“|”为分隔符,其中第二部分为搜索链接。这一链接指向百度WAP版的一个搜索结果页面。
在上述示例中,“%e8%9d%8e%e5%ad%90”是一串汉字对应的Unicode编码,也就是wap.baidu.com的搜索关键词。在分析中,相同的关键词服务器URL访问将返回不同的关键词,并且这些关键词之间没有显著的相关性。我们认为,这一关键词是由关键词服务器随机生成。
我们还注意到,在搜索链接中,出现了一个参数from,其值始终与对应关键词服务器URL中的w参数相同。例如,这里的963a_w1(标识)就出现在上一节的示例之中。
另一方面,第4步获得的30个URL分别对应于30个标识,对这30个标识,关键词服务器将返回搜索链接;而对其他标识,关键词服务器返回结果为空。
因此,关键词服务器维护了这30个标识的列表,并对访问请求做校验。这一在主要攻击流程中始终保持不变的标识信息具有重要含义。
7、        访问搜索链接
最后,样本将在系统后台访问搜索链接,下载该页面,从而造成大量的网络数据流量,而攻击者将得到一次对该链接的“点击”(图6)。

图6访问搜索连接
当样本将30个URL以每秒一个的频率依次完成5、6、7三步,则此次与控制服务器的交互最终完成。相关线程退出,样本将等待6小时候后再次与控制服务器建立连接。
8、        连接更新服务器
当第2步由控制服务器发回的指令为3时,样本跳转到这一步执行。它将访问一个用于更新的URL,该URL的值在指令之后附带。
在分析过程中,控制服务器始终没有发回指令3,因此无法得知更新服务器的地址。我们认为这是样本的一种预留升级措施,目前尚未启用。
9、        下载更新安装包
样本访问更新服务器后,下载一个.apk安装文件,将其重命名为myupdate.apk,并保存在被感染手机SD卡的\sdcard\uc\目录下。此外,样本将在update_flag.xml中添加is_new属性。
我们对样本的分析中,没有发现安装这个.apk文件的有关代码。
五、检测和清除方法
用户可以下载安天实验室提供的Android恶意代码专查工具AVL PK for Android来查杀这一木马。下面是安装文件的信息:
下载地址:http://www.antiy.com/download/avlpk/AVLPK_for_Android_1.02.zip
文件名:AVL PK for Android.apk
文件大小:143,412 字节
文件MD5:2721be6205102dada7e1fa7e5c544606
版本:1.02
安装AVL PK for Android后,运行该专查工具,选择“开始检查”并等待。若出现“检测到Trojan/Android.Adrd”(图7),选择卸载相应的软件,即可彻底清除这一木马。
此外,AVL PK for Android还能检测并清除目前流行的Geinimi木马。

图7AVL PK for Android检测到ADRD木马
六、总结
近年来,Android系统在智能手机市场占有率飞速增长,同时也成为新的热门攻击对象。手机终端的安全威胁日益严重,手机病毒的传播方式和获利方式已经呈现出多样化趋势,恶意行为的隐蔽性也不断提高。
另一方面,根据2010年10月中国科学院心理研究所的《智能手机用户对手机安全威胁的感知与应对行为》调研结果,有超过10%的用户不知道手机病毒的存在、超过三成用户对手机病毒完全未感到担忧。这为手机病毒的传播和攻击提供了很好的环境。统计显示,自1月27日首次出现至今,ADRD木马已经在国内大范围传播,辐射范围达百万用户。
目前,国内存在多家第三方Android应用市场和大量手机论坛,它们在为用户提供便捷服务的同时,也埋下了巨大的安全隐患。此次ADRD木马以及不久前的Geinimi木马,均主要通过论坛和下载站传播。因此,安天建议用户仅从官方站点或可信任的应用市场下载手机软件,以避免受到手机病毒的危害。
此外,安装软件时,用户还应注意其申请的权限,如果有明显不合理的权限要求,应予以谨慎对待。例如,壁纸类软件正常情况下不需要任何特殊的系统权限,如果有访问手机信息、访问网络的要求,就应拒绝安装。

出处:http://www.antiy.com/cn/security/2011/android_adrd_analysis.htm
页: [1]
查看完整版本: Android木马HongTouTou(又名ADRD)分析报告