创意安天

 找回密码
 注册创意安天

Android木马BgServ分析报告

[复制链接]
发表于 2011-3-31 10:52:24 | 显示全部楼层 |阅读模式
本帖最后由 topgunren 于 2011-4-17 20:24 编辑

Android木马BgServ分析报告
出处:安天实验室 时间:2011年3月11日
( PDF报告下载 ) {PDF文档阅读软件下载}
一、 基本信息病毒名称:Trojan/Android.BgServ.a
病毒别名:Fake10086
病毒类型:木马
样本MD5:4E70ABE0AE8A557F6623995BEF1D9BA7
样本CRC32:9ED70AE2
样本长度:98,684 字节
出现时间:2011.03.09
感染系统:Android 1.6及以上
二、 概述
    2011年3月3日,Android官方应用市场上出现五十余款应用程序被植入恶意代码Trojan/Android.Rootcager(又名DroidDream)。Google随即清理了这些应用程序、删除了相关账号,并远程向被攻击手机发送名为Android Market Security Tool(软件包名com.android.vending.sectool.v1)的安全检查工具,以清除恶意代码。
    3月9日,国内部分软件下载站和第三方应用市场出现被植入新木马的Android Market Security Tool,该木马具有向控制服务器发送手机隐私信息、发送扣费短信、拦截中国移动和中国联通客服短信等能力。经分析,木马的攻击代码利用了发布在Google Code的一份开源代码mmsbg。
    安天实验室再次呼吁广大Android手机用户,为避免隐私泄露和财产损失,请勿从不可信来源下载安装手机软件,应尽量从软件开发者官网和Android官方市场下载。三、 样本特征
样本由两部分组成:
1.Android市场安全工具(com.android.vending.sectool.v1)
2.恶意代码BgServ(com.mms.bg)相比于正常的Android 市场安全工具,恶意代码增加了下列权限要求:
• android.permission.RECEIVE_SMS:接收短信
• android.permission.SEND_SMS:发送短信
• android.permission.ACCESS_FINE_LOCATION:通过GPS获取精确地理位置
• android.permission.ACCESS_COARSE_LOCATION:通过网络获取大概位置
• android.permission.ACCESS_NETWORK_STATE:查询网络查询
• android.permission.CHANGE_NETWORK_STATE:更改网络连接
• android.permission.WRITE_EXTERNAL_STORAGE:修改/删除SD卡中的内容
• android.permission.WAKE_LOCK:防止手机休眠


图1  正常软件所需权限


图2  恶意代码所需权限

    恶意代码的启动Activity为com.mms.bg.ui.FakeLanucherActivity,并将自身显示在手机的程序列表(Launcher)中。此外,它开启下列接收器:
• com.mms.bg.transaction.SmsReceiver:发送短信时触发;
• com.mms.bg.transaction.PrivilegedSmsReceiver:接收短信时触发,并具有最高执行优先权;
• com.mms.bg.ui.BootReceiver:手机开机后触发;
• com.mms.bg.ui.AutoSMSRecevier:自定义活动com.mms.bg.SMS触发;
• com.mms.bg.ui.InternetStatusReceiver:网络连接发生改变时触发;
• com.mms.bg.ui.BgService:自定义活动com.mms.bg.FILTER_ACTION触发。

    样本代码反编译结果与发布在Google Code的一份源码及其类似,后者名为mmsbg,作者为sgq116300,项目地址是:
http://code.google.com/p/mmsbg/
    从2010年12月1日最初上传,至本报告发布之日,这份源码一直保持活跃地更新。在对样本反编译结果进行细粒度检查后,我们认为其复用了这份mmsbg代码。


图3  样本与mmsbg的源码结构完全一致


    样本(及mmsbg代码)判断网络连接时,使用cmwap、cmnet作为默认连接名称;对号码为10086和10010的短信进行拦截。其攻击目标直指中国大陆的Android用户。这是继点击鬼影后又一个专门针对国内用户的Android木马。
    样本具有搜集用户手机IMEI码、电话号码、系统版本号等能力,并将其发送到下列网址:
http://www.youlubg.com:81/Coop/request3.php     但在对样本的动态行为监控中,目前还没有发现实际产生网络连接。


图4  搜集手机信息

此外,样本将拦截号码为10086和10010的短信。


图5  拦截10086和10010的短信

我们将对样本进行做进一步分析。
四、 检测和清除方法


图6   样本启动BgService服务

用户可以通过以下方法判断是否感染BgServ木马:
  • 打开应用程序列表,查看是否存在名为“Android Market Security Tool”的程序图标。Google远程安装的正常工具不出现在该列表中,而恶意代码存在。
  • 通过“设置”→“应用程序”→“正在运行的服务”,查看是否有名为BgService的服务正在运行(图1 )。
  • 通过“设置”→“应用程序”→“管理应用程序”,若存在Android Market Security Tool,单击查看其是否要求本分析报告中所指出的额外权限。
    若已经感染该木马,可以在“管理应用程序”中单击Android Market Security Tool,依次选择“强行停止”、“卸载”,将其彻底清除。 五、 总结
    进入2011年以来,Android手机平台出现多起重大安全事件。一方面是出于Android市场占有率飞速扩大,用户越来越多;另一方面,则与系统本身的开放性有关。Android应用市场的开放性是一把双刃剑,它以此获得大量开发者和应用软件,但又因此成为最容易被攻击的目标。
    在之前的Rootcager(DroidDream)事件中,Google作出了一个大厂商应有的风范,在其能力范围内挽救了用户损失。目前,Android安全的短板出现在了第三方市场和用户之中。绝大部分恶意软件依然通过论坛、下载站、第三方市场传播,并被Android用户下载安装。然而,以往和这次的经验表明,用户可以采取简单地行动来有效地保障隐私和财产不被恶意侵犯——不从非官方站点下载和安装应用软件。
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

小黑屋|手机版|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2019-1-24 12:06

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表