近日,奇安信病毒响应中心在日常样本监控过程中发现了一批伪装成点读通.apk、作业帮.apk、手机找回.apk、PUBG.apk等国内用户常用软件的MobiHok家族样本。
样本在执行过程中为了迷惑用户会安装内置的正规APK,真正的恶意程序则隐匿执行,用户在此过程中一般感觉不到异常,从而窃取用户短信、联系人、通话记录、地理位置、键盘记录、文件目录、应用信息、手机固件信息、录音、录像、截屏、拨打电话、发送短信等。
基于奇安信的多维度大数据关联分析,我们已经发现国内有用户中招,为了防止危害进一步扩散,我们对该远控木马进行了详细分析,并给出解决方案。
MobiHokRAT简介MobiHok最早在2019年七月份在地下论坛中被发现,售卖者名为“Mobeebom”,除了在多个阿·拉伯语地下论坛活跃之外,售卖者还通过FaceBook、youtube进行宣传,在FaceBook进行宣传时同样使用了阿拉伯文。
YouTube中拍摄了各个版本的运行视频和一些安全机制绕过方法:
目前V4版本已经免费,在其官网上可以下载,其余版本收费情况如下,价格不菲:
相关证据表明在V4版本免费之后,国内使用该家族的团伙逐渐变多,且V4版本就可以绕过华为、三星、Google Play安全机制和FaceBook身份验证。奇安信监控的数据如下:
V4版本主控端界面如下:
Mergin App项中可以嵌入任意正规APP。
样本分析相关样本如下:
申请的权限:
该远控APK木马功能复杂,在执行过程中会运行内置正规Apk软件来迷惑用户,可以从资源中dump出正规的apk文件:
安装后为作业帮app:
而木马则在手机中隐秘执行,监听电池变化的广播,每当电池电量有变化时,计算百分比,并获取充电类型:
获取手机网络链接类型:
测试是否能访问www.google.com:
查看屏幕保护的状态:
会静默安装内置的正规APP,并启动:
kforniwwsw0类作为服务在MainActivity中被调用,连接远程C2服务器:
远控功能列表整理如下
指令参数指令功能calls_delete删除通话记录OpenApp打开指定appKeyStart配置相关ViewFile文件查看WriteFiles文件写入fcbkopen()创建子目录ConnectedDownloadManager指定URL下载者AccountManager()账户管理MicrophoneStop()麦克风停止ViewFileVideoPlay浏览视频文件PlayStop停止播放Apps()枚举安装的appDelLog删除日志GetLog获取日志gglopen()获取指定app信息SaveEdit保存编辑REHost修改HostStartServiceGLocation()启动位置服务CompressFiles压缩文件DownManager下载者CallsManager()通话记录管理DDownManagerSocket管理WinCall联网环境下电话呼入呼出StartServiceCamera开启摄像头服务contacts_delete联系人删除Microphone20()麦克风相关deleteFiles删除文件Terminal远程终端SetWallpaper设置手机背景墙FileManager2文件管理FileDelete文件删除Microphone()麦克风相关ContactsManager()联系人管理properties获取properties文件FileMove文件移动FileRename文件重命名FSettings获取设备相关信息_VibratorOff设置相关contacts_write添加联系人FUN恶搞相关FControl控制音量、蓝牙、GPS、WIFI等功能AmDPM修改锁屏密码FileManager文件管理toast弹框unzip解压缩PlayStart开始播放FindCamera()寻找摄像头设备SMSManager短信管理key_logger键盘记录ListenMicrophone麦克风监听FileStart弹出文件FileWrite文件写入ViewFileVideoBreak()视频相关StopServiceGLocation()停止定位服务KeyStop设置相关CallPhone拨打电话_Vibrator设置相关chatOpen打开聊天框chat_set聊天设置edithost修改HostEditFile修改文件SetParameters设置摄像头参数StopServiceCamera()停止摄像头服务InfDownManager下载者相关的远控操作:
相关功能代码:
FSettings获取本机设备相关信息,如手机号、SDK_INT、Language、Siminfo、IMSI、IMEI、MAC、SSID、RSSI等相关信息:
获取当前音频模式:
获取手机摄像头相关信息:
获取通话记录相关信息。姓名、电话号、类型、持续时间:
录音功能:
文件管理:
音频管理:
键盘记录:
下载者:
获取联系人信息:
拨号功能:
添加新联系人:
总结
近年来,诸如SpyNote、AhMyth、AndroRAT等安卓远控相继免费甚至公开源代码,黑产向移动端转型的成本大大降低,相比于PC端的远控,安卓远控在地下论坛中售价较为便宜,1500-2500不等,有些中间商甚至使用开源的远控框架不做任何免杀就在地下论坛进行贩卖。
奇安信病毒响应中心提醒用户不要安装未知来源的APP,同时提高个人的安全意识,从而可以防止用户隐私信息被盗取的风险,目前奇安信威胁情报中心文件深度分析平台,奇安信病毒响应中心会移动安全团队会持续对新型远控框架的跟踪,目前奇安信威胁情报中心文件深度分析平台
(https://sandbox.ti.qianxin.com/sandbox/page)已支持Android样本分析:
同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对该家族的精确检测。