自2006年9月以来，我们就一直在监控Google Play商店有关Ztorg木马的各种新变异版本 ，到目前为止，我们已经发现了几十个新的Ztorg木马的变异程序。所有这些都是恶意程序无一例外都是利用漏洞在受感染的设备上获得root权限。

不过，在2017年5月下旬以来，在我们捕获的Ztorg木马的变异程序中，却发现它们都没有使用设备的root权限。通过对Google Play上的两个恶意应用程序进行研究发现，它们与Ztorg木马相关，虽然不是获得受感染设备的root权限的恶意软件，但是却属于木马短信，它可以发送具有优惠话费的木马短信并在安装后迅速将其的安装博删除，截止目前为止这两个应用程序已经从Google Play上分别被下载了5万和1万次。

卡巴斯基实验室的专家们将两个木马应用程序检测为SMS.AndroidOS.Ztorg.a木马，并向Google报告了恶意软件，目前这两个应用都已从Google Play商店中删除了。

2017年5月15日，被称为“魔术浏览器（Magic browser）”的恶意应用程序就已上传到Google Play了，安装次数超过5万次。

第二个应用程序被称为“噪声检测器（Noise Detector）”，具有相同的恶意功能，安装次数超过10000次。

攻击过程

恶意程序启动后，木马将等待10分钟，然后连接到其命令和控制（C＆C）服务器。该木马使用了一个有趣的技术从C＆C获取命令，它向C＆C提供两个GET请求，并且都包括国际移动用户身份（IMSI）的一部分。第一个请求将如下所示：

GET c.phaishey.com/ft/x250_c.txt（其中250 - IMSI的前三位数字）

如果木马收到一些数据作为响应，将会发出第二个请求。第二个请求将如下所示：

GET c.phaishey.com/ft/x25001_0.txt（其中25001 - IMSI的前五位数字）

为什么木马需要这些来自IMSI的数字？

IMSI的有趣之处在于前三位数字是MCC（移动国家代码），第三位和第四位是MNC（移动网络代码）。使用这些数字，攻击者可以识别受感染用户的国家和移动运营商，他们需要这样做才能确定选择应该发送哪类优惠话费的欺骗短信。

在对这些请求进行响应时，木马可能会收到一些加密的JSON文件，其中包含一些数据。此数据应包括优惠列表，每个优惠均包含一个名为“url”的字符串字段，可能包含也可能不包含实际的网址。木马将尝试使用自己的类打开或查看该字段。如果这个值确实是一个真实的url，那么木马会向用户显示其内容。但是如果它是假的url，就会带有一个短信字样的子串，要求用户回复一个短信，其中就包含提供的号码，下图就是决定是否应发送含有恶意代码短信的木马。

通常很少有短信是以这种方式发送的，只要收到网址访问或短信发送后，木马将关闭设备声音，并开始删除用户收到的所有短信。

虽然我们无法通过Google Play传播的木马获得任何命令，但是通过对其他具有相同功能的木马程序的分析，我们得到了以下命令：

{“icon”:”http://down.rbksbtmk.com/pic/four-dault-06.jpg”,”id”:”-1″,”name”:”Brower”,”result”:1,”status”:1,”url”:”http://global.621.co/trace?offer_id=111049&aff_id=100414&type=1″}

这是一个定期的广告报价。

WAP计费订阅

我们能够在Google Play商店及其他正规的应用商店发现相同功能的许多恶意应用。有趣的是，它们看起来不像独立木马，更像是一些木马程序的附加模块。

进一步的调查显示，这些木马事由一个常规的Ztorg木马和其他Ztorg模块一起组合的。

在其中一些木马中，我们发现它们使用MCC从恶意网址下载了一个JS文件。

于是，为了分析，我们下载了几个JS文件，它们使用了不同的MCC，可以推断这些攻击者是来自不同国家的用户。由于无法获取美国MCC的文件，所以只能尝试从其他国家获取的MCC文件中找到一些功能相似的文件。我们发现，所有的文件都包含一个名为“getAocPage”的函数，它最有可能引用AoC 即收费建议。在分析这些文件后，我发现他们的主要目的是通过WAP计费对网页进行点击攻击。在进行攻击时，木马可以从用户的移动帐户窃取资金。 WAP帐单的攻击方式与话费优惠诈骗短信类似，区别就是它采用了订阅付款的形式，而不是一次性诈骗，下图就是，来自俄罗斯用户的CnC的JS文件（MCC = 250）

这意味着该木马从CnC收到的网址不仅可以是广告网址，还可以是WAP帐单订阅的网址。此外，一些具有此功能的木马程序使用包含“/ subscribe / api /”的CnC URL，这些引用也可能使用订阅类的攻击功能。

所有这些木马，包括来自Google Play的木马，都在尝试从任何设备向用户发送短信。为此，攻击者正在使用很多方法来发送短信，以下就是部分“魔术浏览器”应用程序的代码。

总而言之，从“魔术浏览器”应用程序的代码中我们可以发现，它试图从11个不同的地方向受害者发送短信。通过这种方法，攻击者就能够从不同的Android版本和设备发送短信。此外，我们还找到另一个变异过的SMS.AndroidOS.Ztorg木马的恶意程序，试图通过“am”命令发送短信，虽然这种方法最终并没有行得通。

与Ztorg恶意软件家族的关系

“魔术浏览器”恶意应用程序的升级方式与Ztorg木马程序类似，“魔术浏览器”和“噪声检测器”应用程序与其他Ztorg木马共享了许多具有相似之处的代码。此外，最新版本的“噪声检测器”应用程序在安装包的资产文件夹中包含加密文件“girl.png”。解密后，此文件就会变为Ztorg木马。

我们发现了几个与常规Ztorg木马一起安装的其他Ztorg模块功能相同的木马程序，而不是像“魔术浏览器”将附加的Ztorg模块作为独立木马从Google Play传播的情况。 2017年4月，我们发现一个名为“Money Converter”的恶意应用从Google Play安装了10000次以上，它使用辅助功能服务从Google Play安装应用程序。因此，即使在无法获得root权限的更新设备上，木马程序也可以默默地安装、运行并升级恶意应用程序，而无需与用户进行任何交互。

获取root权限攻击的木马是如何演变成通过短信进行攻击的木马

“噪音侦测器”和“魔术浏览器”的恶意应用程序功能虽然相同，但我们认为它们各有不同的用途。 “魔术浏览器”上传的时间较早，我们认为攻击者是在通过它来检测他们是否能够成功上传这种恶意功能。因为他们上传恶意应用程序后，并没有对初级版本进行过更新，它看起来像攻击者试图上传受Ztorg木马常规版本感染的应用程序。但是在上传过程中，他们临时决定在发布root权限功能的恶意软件时添加一些用来赚钱的恶意功能。而“噪声检测器”的更新则证明了这一点。

5月20日，他们上传了一个名为“噪声检测器”的简洁版应用程序。几天后，他们用另一个更简洁的版本来更新它。

然后，几天之后，他们往Google Play上传了一个更新版本，其中包含一个加密的Ztorg木马程序，但我们无法对其进行解密并执行它。上传后的第二天，他们终于用具有SMS功能的木马更新了之前的恶意应用程序，但仍然没有增加执行加密的Ztorg模块的可能性。很可能，如果该应用尚未从Google Play中删除，则他们将在下一阶段添加此功能，不过还有另一种可能，即尝试添加此功能时被Google发现了木马的存在，并导致其被删除。

总结

在Google Play中，我们发现了一个非常不寻常的通过SMS传播木马的恶意程序。它不仅使用了大约十几种方法来发送短信，而且还以非同寻常的方式初始化这些方法，通过使用CnC中的命令处理网页加载错误。它可以打开广告网址，此外，它与具有相同功能的Ztorg恶意软件相关，通常由Ztorg作为附加模块安装。

通过分析这些应用程序，我们发现攻击者正在从事点击攻击来劫持WAP计费。这意味着这些木马不仅可以打开广告网址，还可以发送含有优惠话费的木马短信以及打开网页，并通过用户帐号窃取资金。而为了隐藏这些活动，木马会关闭设备声音并删除所有接受的短信。

攻击者首次通过Google Play传播Ztorg模块，例如，在2017年4月，他们上传了一个模块，可以点击Google Play商店应用按钮安装甚至购买这些推广应用。

根据推测，攻击者是在尝试上传常规含有root攻击权限的Ztorg木马时为了增加收入而临时有了短信诈骗攻击的想法。

MD5

F1EC3B4AD740B422EC33246C51E4782F

E448EF7470D1155B19D3CAC2E013CA0F

55366B684CE62AB7954C74269868CD91

A44A9811DB4F7D39CAC0765A5E1621AC

1142C1D53E4FBCEFC5CCD7A6F5DC7177