迈克菲移动研究团队最近发现一种新的恶意Android应用程序，伪装成由韩国开发人员开发的交通应用程序系列的插件。该系列App为韩国各个地区提供了一连串信息，例如巴士站位置、巴士抵达时间等。该系列共有四个应用程序，其中三个应用程序自2013年起可从Google Play获得，另一个应用发布于2017年左右。目前，四个应用程序都已从Google Play中移除，而伪装插件本身并未上传到商店。在分析伪插件之时，我们也在寻找初始下载器和其他有效载荷 – 我们发现系列中的每个应用程序的一个特定版本（在同一天上传）将恶意软件释放到安装它们的设备上，这也解释了经过5年的发展它们最终被Google Play移除。

图1. Daegu Bus应用程序的Google Play缓存页面，系列中的一个应用程序

安装恶意交通应用程序后，它会从被黑客入侵的Web服务器下载其他的有效载荷，其中包括我们最初获取的伪插件。在下载并安装伪插件之后，它会做一些完全不同的事情 – 它充当交通应用程序的插件并在设备上安装木马，试图通过网络钓鱼诱惑用户输入他们的Google帐户密码并完全控制设备。有趣的是，恶意软件使用原生库来接管设备，并删除库以隐藏检测。它使用了流行的韩国服务名称，如Naver，KakaoTalk，Daum和SKT。根据我们的遥测数据，受感染设备的数量非常少，这表明最终的有效载荷仅安装在一小部分目标上。

一、恶意行动

下图说明了从恶意软件分发到设备感染的整体流程。

图2.设备感染过程

安装恶意交通应用程序时，它会检查是否已安装伪插件，如果没有，则从服务器下载并安装它。之后，它下载并执行一个额外的本机木马二进制文件，类似于伪插件释放的木马。 一切都完成后，它将与C2服务器通联并处理收到的命令。

二、初始下载器

下表显示了有关该系列中每个恶意交通应用程序的版本的信息。正如Google Play安装统计数据所示，这些应用已被许多设备下载。

与干净版本不同，恶意版本包含名为“libAudio3.0.so”的原生库。

图3.嵌入了恶意库的Transportation应用程序

在应用程序的BaseMainActivity类中，它加载恶意库并调用startUpdate和updateApplication。

图4.在应用程序中加载和执行的恶意库

startUpdate通过检查是否存在名为“background.png”的特定标志文件以及是否已安装伪插件来检查应用程序是否已正确安装。如果设备尚未被感染，则从被黑客入侵的Web服务器下载伪插件，并在向受害者显示Toast消息后安装。 updateApplication从同一个被黑客入侵的服务器下载二进制文件并动态加载它。下载的文件（保存为libSound1.1.so）在加载到内存后会被删除，最后，它会执行木马的导出函数。 如前所述，此文件类似于伪插件删除的文件，本文稍后将对此进行讨论。

图5其他载荷

三、伪插件

伪插件从被黑客入侵的Web服务器下载，文件扩展名为“.mov”，看起来像媒体文件。安装并执行它时，它会显示一条Toast消息，说明该插件已成功安装（韩语）并调用名为playMovie的本机函数。伪插件的图标很快就会从屏幕上消失。在LibMovie.so中实现的本机函数存储在资产文件夹中，它将恶意木马释放到当前正在运行的应用程序目录中，伪装成libpng.2.1.so文件。释放的木马最初嵌入在LibMovie.so xor'ed中，在运行时解码。 授予权限后，使用dlsym动态检索已释放木马中导出函数“Libfunc”的地址。删除文件系统中释放的二进制文件以避免检测，最后执行Libfunc。

图6安装恶意软件时的Toast消息

在另一个分支进程中，它尝试访问已安装的SD卡上的“naver.property”文件（如果有的话），如果成功，则尝试启动显示Google网络钓鱼页面的“.KaKaoTalk”行动（详情请参阅 在下一节）。dropper的整体流程如下图所示：

图7. dropper的执行流程

以下是清单文件的片段，显示“.KaKaoTalk”已导出。

图8. Android Manifest将“.KaKaoTalk”定义为导出

四、使用JavaScript页面钓鱼

KakaoTalk类打开一个本地HTML文件javapage.html，在受感染设备上注册的用户电子邮件会自动设置为登录其帐户。

图9. KakaoTalk类加载恶意本地html文件

页面加载完成后，受害者的电子邮件地址通过JavaScript函数setEmailAddress设置为本地页面。显示假的韩国Google登录网站：

图10.恶意JavaScript显示带有用户帐户的精心设计的Google登录页面

我们发现恶意软件作者利用Google合法服务的尝试如下：

· 窃取受害者的Google帐户和密码

· 请求特定帐户的密码恢复

· 在创建新的Google帐户时设置恢复电子邮件地址

网络钓鱼攻击的一个有趣元素是恶意软件作者试图将自己的电子邮件设置为Google合法服务的恢复地址。 例如，当用户点击网上诱骗网页中的新Google帐户创建链接时，会打开精心制作的链接，并将恶意软件作者的电子邮件地址作为RecoveryEmailAddress的参数。

图11.精心设计的JavaScript尝试为新的Google帐户创建设置恢复电子邮件地址

幸运的是，对于最终用户，上述恶意企图都没有成功。在帐户创建阶段，包含恶意软件作者电子邮件地址的参数被忽略。

五、Trojan

除了谷歌网络钓鱼页面，当执行该木马的“Libfunc”功能（由伪插件释放或从服务器下载）时，手机完全被控制。它从以下硬编码的C2服务器列表接收命令。 该木马的主要功能是在一个名为“doMainProc”的函数中实现的。请注意，一些特洛伊木马的变种具有不同的功能，但总的来说，它们几乎相同。

图12. C2服务器的硬编码列表

硬编码C2服务器的地理位置如下所示：

图13. C2服务器的位置

在doMainProc函数内，该木马从C2服务器接收命令并调用适当的处理程序。 下面的switch的一部分让我们了解这个木马支持的命令类型。

图14.在已释放的木马中实现的命令处理程序的子集

如你所见，它具有普通木马所具备的所有功能。下载、上传和删除设备上的文件，将信息泄露给远程服务器等。下表说明了支持的C2命令：

图15. C2命令

在进入命令处理循环之前，该木马进行一些初始化，例如将设备信息文件发送到服务器并检查设备的UID。只有在UID检查返回1后才进入循环。

图16在进入命令循环之前连接的服务器

在这些命令中，目录索引尤为重要。目录结构保存在名为“kakao.property”的文件中，并在索引用户设备中的给定路径时，它使用特定关键字检查文件，如果匹配，则将文件上传到远程上载服务器。 这些关键字是韩文，其翻译成英文如下表所示：

图17搜索关键字

通过查看关键字，我们可以预测恶意软件作者正在寻找与军事、政治等相关的文件。这些文件将上传到单独的服务器。

图18关键字匹配文件上传服务器

六、总结

在泄漏敏感信息之前，应用程序可以轻松诱骗用户安装它们。此外，恶意软件潜入官方Google Play商店并使用户难以保护其设备的情况并不少见。这种恶意软件并非普通的网络钓鱼尝试，而是非常有针对性的攻击，在受害者的设备上搜索与军事和政治相关的文件，试图泄露机密信息。用户应始终安装他们可以完全信任的应用程序，即使它们是从受信任的来源下载的。

McAfee Mobile Security将此威胁检测为Android / MalBus，并向移动用户发出警报（如果存在），同时保护他们免受任何数据丢失。 有关McAfee Mobile Security的更多信息，请访问https://www.mcafeemobilesecurity.com。

Hashes (SHA-256)

初始下载器(APK)
• 19162b063503105fdc1899f8f653b42d1ff4fcfcdf261f04467fad5f563c0270
• bed3e665d2b5fd53aab19b8a62035a5d9b169817adca8dfb158e3baf71140ceb
• 3252fbcee2d1aff76a9f18b858231adb741d4dc07e803f640dcbbab96db240f9
• e71dc11e8609f6fd84b7af78486b05a6f7a2c75ed49a46026e463e9f86877801

伪插件 (APK)
• ecb6603a8cd1354c9be236a3c3e7bf498576ee71f7c5d0a810cb77e1138139ec
• b8b5d82eb25815dd3685630af9e9b0938bccecb3a89ce0ad94324b12d25983f0

Trojan
• b9d9b2e39247744723f72f63888deb191eafa3ffa137a903a474eda5c0c335cf
• 12518eaa24d405debd014863112a3c00a652f3416df27c424310520a8f55b2ec
• 91f8c1f11227ee1d71f096fd97501c17a1361d71b81c3e16bcdabad52bfa5d9f
• 20e6391cf3598a517467cfbc5d327a7bb1248313983cba2b56fd01f8e88bb6b9