作者: 启明星辰ADLab

1、概述

2017年6月29日、30日，国家互联网应急中心通报了相册类安卓恶意程序威胁信息，指出该类恶意木马通过短信群发方式进行传播，其除了窃取用户短信和通讯录以外，还对用户手机进行了远程命令控制（其中包括短信群发到感染设备通讯录完成传播和控制感染设备来电去电等功能），不排除后期对感染设备用户及其朋友圈进行诈骗和恶意消费等恶意行为。

鉴于该类恶意木马对用户个人隐私和信息安全造成的严重威胁，启明星辰ADlab对其中一些样本进行了分析，并且发现部分恶意代码是通过伪装成当下流行的“王者荣耀游戏”的皮肤程序，利用各个APP商店、下载网站进行大量传播。本文将对此类“王者荣耀皮肤”伪装者恶意程序进行详细分析并且对黑客进行了信息和身份追踪。

2、恶意木马行为简介

我们所分析的这款恶意木马伪装成“王者荣耀皮肤”应用以吸引用户下载安装（见下图）。运行后，该恶意木马会首先启动设备管理器界面，引导用户激活自己为设备管理员，这样可以避免被轻易卸载。设备管理员权限一旦被激活，该恶意木马便会将窃取到的感染设备安装激活状态、IMEI、机型、系统型号等信息以邮件的方式发送到攻击者指定的163邮箱，提示肉鸡上线。其次，该恶意木马还会每隔2分钟提示、诱导用户设置自己为默认的短信应用，以获取对短信数据库的读写权限。最后，恶意木马会删除图标，隐藏自身。

以上准备工作完成后，该恶意木马便会将窃取到的感染设备的所有短信和通讯录信息上传到攻击者指定的163邮箱。除此之外，该恶意木马还利用短信收发广播和观察者模式两种方式来监听感染设备的新收短信。如果新收短信来自攻击者，则该恶意木马执行对应的控制命令（其中包括短信群发到感染设备通讯录完成传播和控制感染设备来电去电等功能），否则恶意木马将其他新收短信分别上传到攻击者指定的163邮箱账户和发送到攻击者指定的手机号码。最后，该恶意木马可通过控制命令删除新收短信。下图为对该恶意木马功能的概括总结：

3、详细行为分析

该恶意木马申请的权限如下图所示，其中，涉及到的敏感权限包括短信的读、写、发送权限，联系人读写权限，打电话权限，自启动权限和监听、控制、取消呼出电话的权限等。

3.1、申请管理员权限，自我保护

该恶意样本首先会启动设备管理器界面，引导用户激活自己为设备管理器，这样可以避免自己被轻易卸载。见下图：

Android设备管理器对于一个普通APP而言并不太常用，在很多病毒中很是常见。一旦应用被激活成为系统管理员，则在设置->应用程序下无法直接删除该APP，只有取消激活后才能卸载。所以对于不了解的应用，千万不可乱激活。

运行结果如下图：当用户点击激活后，恶意木马就获得了设备管理员权限，这样会导致普通用户很难卸载掉恶意木马。

3.2、提示肉鸡上线。

该恶意木马注册了广播接收器，一旦设备管理员权限被用户激活，恶意木马就将窃取到的感染设备安装激活状态、IMEI、机型、系统型号等信息通过邮件发送到攻击者指定的163邮箱，提示肉鸡上线。见下图：

3.3、接管短信应用

该恶意木马每隔2分钟提示、引导用户设置自己为系统短信应用，接管短信服务，以获得对短信数据库的操作权限（见下图）。

Android 4.4及其以后，只能设置一个默认的SMS短信APP，当短信到达后会首先通知设置的默认APP，并且只有该APP对短信数据库有修改的权限和短信的发送权限。

3.4、窃取用户短信和通讯录

该恶意木马在窃取感染设备的IMEI、机型、系统版本和所有短信以及通信录内容后，将其以邮件的方式上传到攻击者指定的163邮箱。如果通过邮件上传用户的短信和通讯录时报错，则会以短信的方式通知攻击者利用控制命令重新获取短信和通讯录并发送。见下图：

窃取感染设备中的全部短信：

窃取感染设备通讯录内容：

窃取感染设备IMEI、机型、系统版本和整个设备的短信和通讯录，邮件发送到攻击者指定的邮箱：

如果通过邮件上传用户的短信和通讯录时报错，则会以短信的方式通知攻击者利用控制命令重新获取短信和通讯录并发送：

3.5、监听感染设备新短信

该恶意样本利用短信收发广播和观察者模式两种方式来监听感染设备的新收短信。如果新收短信来自攻击者，则执行相应控制命令（其中包括短信群发到感染设备通讯录完成传播和控制感染设备来电去电等功能，详细的控制指令和对应功能见下表）。否则，窃取其他新收短信（分别通过邮件和短信方式发送）。见下图：

注册短信发送接收广播：

判断短信发送者，如果不是来自攻击者，则将截获的短信分别发送到攻击者指定的163邮箱和以短信的形式发送给攻击者指定的手机号码；如果新收短信来自攻击者，则执行对应控制命令（其中包括短信群发到感染设备通讯录完成传播和控制感染设备来电去电等功能）。

利用观察者模式监听短信变化，可通过控制命令设置对新收短信进行删除

我们对控制指令及其相应的代码进行分析并且绘制了如下控制指令及其功能的表格。

3.6、服务常驻

该恶意木马还定义了广播接收器，用于自启动。当用户手机重启时，启动恶意服务，继续其侵害过程。

4、攻击者画像

攻击者的邮箱帐号和密码以及手机号码见下表，目前该邮箱账户不能正常登录，应该是攻击者修改了邮箱密码。

在搜索引擎中搜索攻击者邮箱“178×××××[email protected]”，未找到任何有价值信息。继而尝试搜索攻击者窃取用户短信和通讯录时指定的手机号码“150×××××634”，分别得到与该手机号码关联的支付宝账户和微信账户如下，可以看到，所得账户和该恶意木马似乎并没有什么关联。

我们观察攻击者邮箱帐号，猜测其用户名极有可能也是一个手机号码，搜索可知该手机号码的运营商为中国移动，归属地为四川成都，如下图：

再通过该手机号码，分别查到与之相关联的微信账户和支付宝账户（见下图），我们惊喜地发现其账户头像和该恶意木马图标一致。所以该手机号码和以下账户和该恶意样本有强关联，此人很有可能是该恶意木马控制背后的黑客。

另外，通过样本中暴露的黑客回传邮箱的密码来看，发现其中一个密码是一个QQ号码。并且通过加该QQ号可以看出与其相关联的QQ账信息，如下图，并且从验证问题中的“拜师”可以看出，该黑客还在接收徒弟，做黑产技术培训。

再搜索攻击者给出的QQ群，我们查到的群介绍如下图，可以看出该QQ群为攻击者创建的一个王者荣耀皮肤大师的伪官方群。

综合以上线索，我们以“文哥”、“王者荣耀”、“皮肤大师”等作为关键字，通过搜索发现网上存在很多由该攻击开发的相关工具，通过我们下载确认其中很多工具中存在恶意行为。搜索结果如下：

我们还通过该恶意APP的回传邮箱发现，网名为"文哥"的此位黑客还在一个钓鱼网站上注册过一个账号，试图进行网络钓鱼活动。

通过以上信息，我们可以看出，该恶意木马背后的黑客极有可能是网上这位以"文哥"为网络ID的人。因而通过这些信息我可以对该黑客做一个简单画像：该恶意木马背后黑客常用网名为“文哥”，可能位于四川成都，并且会一定的游戏辅助开发，也曾经参与网站钓鱼以及游戏盗号等黑产。

5、安全建议

建议不要安装不明来源的APP，对申请可疑权限尤其是短信读写、打电话以及需要激活设备管理器的APP要特别留意。遇到操作异常，应当及时使用杀毒软件查杀或找专人处理。目前，目前互联网上也充斥着形形色色的第三方APP下载站点，很多甚至成了恶意应用的批发集散地。用户应特别留意不应轻易的在一些下载站点下载APP，尽量从官网下载所需APP应用，在不得不从第三方下载站点下载软件时，要高度保持警惕，认真甄别，防止误下恶意应用，造成不必要的麻烦和损失。此外，对于“王者荣耀”游戏用户，建议不要轻易相信网上的所谓的免费版“王者荣耀皮肤”应用，尽可能在官网下载，以防感染此类恶意APP。

---

启明星辰积极防御实验室（ADLab）

ADLab成立于1999年，是中国安全行业最早成立的攻防技术研究实验室之一，微软MAPP计划核心成员。截止目前，ADLab通过CVE发布Windows、Linux、Unix等操作系统安全或软件漏洞近300个，持续保持亚洲领先并确立了其在国际网络安全领域的核心地位。实验室研究方向涵盖操作系统与应用系统安全研究、移动智能终端安全研究、物联网智能设备安全研究、Web安全研究、工控系统安全研究、云安全研究。研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。

---