创意安天

 找回密码
 注册创意安天

Android木马HongTouTou(又名ADRD)分析报告

[复制链接]
发表于 2011-4-17 20:25:40 | 显示全部楼层 |阅读模式
本帖最后由 topgunren 于 2011-4-17 20:28 编辑

出处:安天实验室 时间:2011年2月18日
( PDF报告下载 ) {PDF文档阅读软件下载} 专杀工具AVL PK for Android
一、        基本信息
病毒名称:Trojan/Android.Adrd.a[Clicker]
病毒别名:HongTouTou、ADRD
病毒类型:木马
样本MD5:A84997B0D220E6A63E2943DA64FFA38C
样本CRC32:A42850DE
样本长度:1,316,981 字节
原始文件名:Newfpwap_com_liveprintslivewallpaper.apk
出现时间:2011.01.27
感染系统:Android 2.0及以上
二、        概述
    ADRD木马(又名HongTouTou木马)被植入十余款合法软件中(图1),通过多家论坛、下载站点分发下载实现大范围传播。其主要行为包括:开启多项系统服务;每6小时向控制服务器发送被感染手机的IMEI、IMSI、版本等信息;接收控制服务器传回的指令;从数据服务器取回30个URL;依次访问这些URL,得到30个搜索引擎结果链接;在后台逐一访问这些链接;下载一个.apk安装文件到SD卡指定目录。感染该木马的手机将产生大量网络数据流量,从而被收取流量费用。攻击者通过增加搜索链接的访问量而获益。用户可以下载安天提供的Android恶意代码专杀工具AVL PK for Android检测手机是否感染这一木马,并卸载相应软件将其清除。


图1 正常软件与被植入木马的软件

三、        样本特征
    截止本分析报告发布,安天已经检测到ADRD木马(又名HongTouTou木马)被植入到下列Android软件: 
  • 动态脚印动态壁纸Live Prints Live Wallpaper
  • TurboFly 3D
  • Robo 3
  • iReader
  • 桌面时钟天气Fancy Widget Pro
  • 炫彩方块动态壁纸 Light Grid
  • 超级酷指南针
  • 指纹解锁
  • 夕阳轮廓动态壁纸

    本报告涉及的样本中,ADRD木马被植入一款名为“动态脚印动态壁纸”(英文名“Live Prints Live Wallpaper”)的软件之中,于1月27日出现在国内所有主流手机论坛之中。被植入软件包括两部分:1.        正常程序liveprints:
1)        服务LivePrints:android.service.wallpaper.WallpaperService
2)        Activity:.LivePrintsSettings
2.        恶意代码com.xxx.yyy:
1)        接收器com.xxx.yyy.MyBoolService,用于启动(android.intent.action.BOOT_COMPLETED)
2)        接收器com.xxx.yyy.MyAlarmReceiver,自定义行为(com.lz.myservicestart)
3)        接收器com.xxx.yyy.NetWorkReceiver,响应网络状态变化(android.net.conn.CONNECTIVITY_CHANGE)
4)        接收器com.xxx.yyy.CustomBroadCastReceiver,响应电话状态(android.intent.action.PHONE_STATE)
5)        服务 com.xxx.yyy.MyService
样本需要获取系统的以下权限(图2):
  • 读取通讯录数据
  • 对Internet的完全访问
  • 修改/删除SD卡的内容
  • 读取和修改通话状态
  • 写入APN(Access Point Name)设置
  • 查看网络状态,查看Wi-Fi状态
  • 开机时自动启动


图2 样本需要多项系统权限

特征字符串包括:
        http://adrd.taxuan.net/index.aspx?im=
        http://adrd.xiaxiab.com/pic.aspx?im=
        http://wap.baidu.com/
        imeiimsi
        myupdate.apk
        UNINET
        UNIWAP
        cmnet
        cmwap
四、        行为分析接收器行为分析
1.        com.xxx.yyy.MyBoolService
木马通过这一接收器实现随系统开机而启动,然后发送com.lz.myservicestart广播消息,并设置一个2分钟后激活的Alarm。
2.        com.xxx.yyy.MyAlarmReceiver
接收到com.lz.myservicestart广播后,启动MyService服务。
3.        com.xxx.yyy.NetWorkReceiver
检查phone_start中的started标志,以判断MyService服务是否启动。如果没有,则将其启动。
4.        com.xxx.yyy.CustomBroadCastReceiver
当通话状态变为空闲(即通话结束),修改phone_start中的started标志状态为启动,并启动MyService服务。
5.        MyService
MyService启动后,首先尝试获取手机的IMEI和IMSI码。如果获取失败,等待6分钟后再次尝试。
下一步,查看网络连接状态。如果没有连接,则尝试打开网络连接。如果连接失败,则等待6分钟后再次尝试。访问APN设置中的配置信息,将其与”UNINET”、”UNIWAP”、”cmnet”、”cmwap”进行比较,以判断连接类型。
下一步,检查update_flag.xml中oldtime字段保存的样本上一次与控制服务器通信的时间,如果距离现在已经超过6小时,则搜集本机信息,再次向控制服务器发送数据,并更新oldtime(图3)。


图3 样本每6小时向控制服务器发起连接

恶意行为分析
    该样本的主要恶意行为图4所示。其中所有步骤均在后台运行,对用户不可见。


图4 主要恶意行为示意图

1、        向控制服务器发送IMEI/IMSI和版本信息
MyService获取手机中的以下信息(图5):imei:被感染手机的IMEI码imsi:被感染手机的IMSI码iversion:样本版本,默认为1oversion:被感染的Android系统版本netway:取值1表示正常访问,取值0表示使用代理


图5 获取IMEI和IMSI码

接下来按下列方式和顺序构建一个明文字符串<string>:
<string> = Imei + “&” + imsi + “&” + netway + “iversion” + “oversion”
用DES算法对上述字符串加密(使用密钥“48734154”),得到密文字符串<enstring>。然后将密文字符串与控制服务器地址组成一个完整的URL:
http://adrd.taxuan.net/index.aspx?im=<enstring>
最后,向这个URL发送一个HTTP POST请求,从而将加密了的手机IMEI、IMSI码和版本信息一起发送到控制服务器adrd.taxuan.net。
2、        从控制服务器接收控制指令
样本接收控制服务器adrd.taxuan.net的应答消息,应答的数据为DES加密的密文,使用密钥“48734154”解密,然后根据解密所得明文的第二个字符执行下一步操作:
指令0:当前函数将后续字符串返回给调用函数;
指令1:开始执行第3步(连接数据服务器);
指令2:当前函数将后续字符串返回给调用函数;
指令3:开始执行第8步(连接更新服务器)。
3、        向数据服务器发送IMEI/IMSI
按下列方式和顺序构建一个明文字符串<string>:
<string> = Imei + “&” + imsi
用DES算法对上述字符串加密(使用密钥“48734154”),得到密文字符串<enstring>。然后将密文字符串与数据服务器地址组成一个完整的URL:
http://adrd.xiaxiab.com/pic.aspx?im=<enstring>
最后,向这个URL发送一个HTTP POST请求,从而将手机IMEI、IMSI码发送到数据服务器adrd.xiaxiab.com。
4、        从数据服务器接收URL列表
样本接收数据服务器adrd.xiaxiab.com的应答消息,应答的数据为DES加密的密文,使用“48734154”解密,得到如下明文(中间部分省略):
B#1#963a_w1|http://59.173.12.105/g/g.ashx?w=963a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#961a_w1|
http://59.173.12.105/g/g.ashx?w=961a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#964a_w1|
http://59.173.12.105/g/g.ashx?w=964a_w1|1|
…………
http://59.173.12.105/add/pk.aspx$B#1#961a_w1|http://59.173.12.105/g/g.ashx?w=961a_w1|1|
http://59.173.12.105/add/pk.aspx$

其中包含30条记录,以第一条记录为例,各字段含义为:

字段取值

含义


B

开始界定符

1

期望访问次数docount

963a_w1

标识identity

http://59.173.12.105/g/g.ashx?w=963a_w1

关键词服务器URL gwurl

1

hmul

http://59.173.12.105/add/pk.aspx

prul

$

结束界定符

需要指出的是,获取的这30条记录在多次分析中均保持稳定,与发送到数据服务器的IMEI、IMSI码无关。
其中,我们将字符串gwurl称之为关键词服务器URL。关键词服务器的IP地址为59.173.12.102,在这30条记录中,服务器网址还以g.gxsmy.com的形式出现。
5、        多次访问关键词服务器
解析了30条记录后,样本获得30个不同的关键词服务器URL。接下来,它以1秒一次的频率依次访问这些URL(在HTTP请求中,refer字段被设置为记录中的prul值)。
6、        获得关键词和搜索链接
关键词服务器g.gxsmy.com返回给样本的数据具有如下形式:
1|http://wap.baidu.com/s?word=%e8%9d%8e%e5%ad%90&amp;vit=uni&from=963a_w1
以“|”为分隔符,其中第二部分为搜索链接。这一链接指向百度WAP版的一个搜索结果页面。
在上述示例中,“%e8%9d%8e%e5%ad%90”是一串汉字对应的Unicode编码,也就是wap.baidu.com的搜索关键词。在分析中,相同的关键词服务器URL访问将返回不同的关键词,并且这些关键词之间没有显著的相关性。我们认为,这一关键词是由关键词服务器随机生成。
我们还注意到,在搜索链接中,出现了一个参数from,其值始终与对应关键词服务器URL中的w参数相同。例如,这里的963a_w1(标识)就出现在上一节的示例之中。
另一方面,第4步获得的30个URL分别对应于30个标识,对这30个标识,关键词服务器将返回搜索链接;而对其他标识,关键词服务器返回结果为空。
因此,关键词服务器维护了这30个标识的列表,并对访问请求做校验。这一在主要攻击流程中始终保持不变的标识信息具有重要含义。
7、        访问搜索链接
最后,样本将在系统后台访问搜索链接,下载该页面,从而造成大量的网络数据流量,而攻击者将得到一次对该链接的“点击”(图6)。


图6 访问搜索连接

    当样本将30个URL以每秒一个的频率依次完成5、6、7三步,则此次与控制服务器的交互最终完成。相关线程退出,样本将等待6小时候后再次与控制服务器建立连接。
8、        连接更新服务器
    当第2步由控制服务器发回的指令为3时,样本跳转到这一步执行。它将访问一个用于更新的URL,该URL的值在指令之后附带。
在分析过程中,控制服务器始终没有发回指令3,因此无法得知更新服务器的地址。我们认为这是样本的一种预留升级措施,目前尚未启用。
9、        下载更新安装包
    样本访问更新服务器后,下载一个.apk安装文件,将其重命名为myupdate.apk,并保存在被感染手机SD卡的\sdcard\uc\目录下。此外,样本将在update_flag.xml中添加is_new属性。
我们对样本的分析中,没有发现安装这个.apk文件的有关代码。
五、        检测和清除方法    用户可以下载安天实验室提供的Android恶意代码专杀工具AVL PK for Android来查杀这一木马。下面是安装文件的信息:
下载地址:http://www.antiy.com/download/avlpk/AVLPK_for_Android_1.02.zip
文件名:AVL PK for Android.apk
文件大小:143,412 字节
文件MD5:2721be6205102dada7e1fa7e5c544606
版本:1.02
    安装AVL PK for Android后,运行该专杀工具,选择“开始检查”并等待。若出现“检测到Trojan/Android.Adrd”(图7),选择卸载相应的软件,即可彻底清除这一木马。
此外,AVL PK for Android还能检测并清除目前流行的Geinimi木马。


图7 AVL PK for Android检测到ADRD木马

六、        总结
    近年来,Android系统在智能手机市场占有率飞速增长,同时也成为新的热门攻击对象。手机终端的安全威胁日益严重,手机病毒的传播方式和获利方式已经呈现出多样化趋势,恶意行为的隐蔽性也不断提高。
    另一方面,根据2010年10月中国科学院心理研究所的《智能手机用户对手机安全威胁的感知与应对行为》调研结果,有超过10%的用户不知道手机病毒的存在、超过三成用户对手机病毒完全未感到担忧。这为手机病毒的传播和攻击提供了很好的环境。统计显示,自1月27日首次出现至今,ADRD木马已经在国内大范围传播,辐射范围达百万用户。
    目前,国内存在多家第三方Android应用市场和大量手机论坛,它们在为用户提供便捷服务的同时,也埋下了巨大的安全隐患。此次ADRD木马以及不久前的Geinimi木马,均主要通过论坛和下载站传播。因此,安天建议用户仅从官方站点或可信任的应用市场下载手机软件,以避免受到手机病毒的危害。
    此外,安装软件时,用户还应注意其申请的权限,如果有明显不合理的权限要求,应予以谨慎对待。例如,壁纸类软件正常情况下不需要任何特殊的系统权限,如果有访问手机信息、访问网络的要求,就应拒绝安装。
发表于 2011-8-17 16:41:17 | 显示全部楼层
很详细
发表于 2012-6-25 09:07:28 | 显示全部楼层
顶!持续关注中!
发表于 2014-3-30 02:17:29 | 显示全部楼层
请教一下,Android木马TunkooScan.a[prv.gen],怎么删除?
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

小黑屋|手机版|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2019-1-24 13:10

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表