导语:2016年新型安卓恶意软件家族RuMMS利用短信钓鱼攻击了很多俄罗斯地区的用户。如今,RuMMS恶意软件又回来了,而且攻击功能又大大的增强了。
RuMMS恶意软件不仅又回来了,而且攻击功能又大大的增强了。2016年新型安卓恶意软件家族RuMMS就已经利用短信钓鱼攻击了俄罗斯地区的用户。
最近,美国网络安全公司Zscaler的ThreatLabZ团队发现了一个恶意软件,这个恶意软件是在一个名为mmsprivate[.]的虚假MMS网站上发现的。该网站都是一些色情照片,从而引诱受害者对其进行访问。当受害者访问时,该网站就会发出这样的提示:“如果你想观看更多劲爆内容,就请接受我们的协议”。当用户点击同意后,恶意Android软件包(APK)就将自动下载到被攻击者的手机中。恶意软件将自己伪装成Сooбщениe(可见是只针对俄罗斯地区的用户),其翻译成英文就是Messages的意思,并通过利用Android AccessibilityService执行其恶意功能,Android AccessibilityService可帮助残障人士使用Android设备和应用程序。然后。攻击时,恶意软件会隐藏自己,以监视用户。
在分析时,ThreatLabZ团队发现它与FireMye研究人员2016年发现的名为RuMMS的恶意软件相似,只是进行了一些修改。该新版本包含各种增强功能,因此ThreatLabZ团队将其称之为RuMMS 2.0版。
RuMMS 2.0的简单介绍
· 应用程序名称:Сooбщениe
· 哈希:c1f80e88a0470711cac720a66747665e
· Android软件包名称:ru.row.glass
RuMMS 2.0的下载和安装
恶意软件通过网站mmsprivate[.]site/feel/进行传播,并且很可能通过短信或电子邮件的形式。一旦用户点击链接,该软件就会诱使受害者点击一个按钮,植入恶意APK。这时托管在URL上的内容是采用的俄文,你可以在下图中查看翻译后的说明。
执行APK下载的初始URL
该APK来自一个未知源,由于Android系统不允许直接安装,因此只需通过简单点击即可启用“未知来源”选项来安装恶意应用程序。下图从左至右,显示了每一步安装过程。
从未知来源安装
启用AccessibilityService
安装完成后,应用程序将自己伪装成一个消息应用程序(如下面所示)。在第一次使用时,应用程序会重新定向受害者,以启用Android AccessibilityService。一旦Android AccessibilityService启用,应用程序将从主屏幕上消失,隐藏到后台。
AccessibilityService的启用
如果受害者的AccessibilityService未被启用,则恶意软件将持续出现在屏幕上(上图中的第二个屏幕截图),以诱导受害者启用该服务。
一旦启用AccessibilityService,恶意软件就会启动,使短信成为默认的消息传递渠道。通过使用AccessibilityService的功能,在确认该应用程序所发送的消息是否静默时,后台会自动选择“Yes”,如下图所示,用户将无法看到这个消息框,因为所有的操作都是在后台悄然进行的。
运行中的AccessibilityService
通讯机制
研究人员的调查显示,一旦初始设置完成,恶意软件就会开始向命令和控制(C&C)服务器发送详细信息,C&C的细节被硬编码。来自C&C的请求和响应使用Base64编码。下图显示了正在发送和接收的解码值:
第一次请求
上图显示了受害者设备回传给C&C的详细信息,C&C用命令“40”和应用程序名称回复。请注意命令“40”是用于禁用应用程序的。
初始响应
以本文的RuMMS 2.0为例,要禁用的应用程序列表中,还包含了各种杀毒软件,其中包括:
· Trend Micro
· Dr.Web
· AhnLab
· Avira
· Sophos
· McAfee
· F-Secure
恶意软件这么做的目的就是要确保所有这些安防软件都不可操作。一旦受害者试图打开其中一个应用程序,恶意软件会立即关闭它。它的行为类似于一个臭名昭著的攻击俄罗斯银行Sber Bank的木马,当时该木马在攻击Sber Bank的应用程序时,也是不允许任何安防软件打开。
用户发送和盗取的信息短信
安装完毕后,恶意软件会等待来自C&C服务器的命令,并由此开始各种攻击。正如下面展示样本那样,研究人员发现命令 “11”被用于发送短信,这个短信可以发送到到任何的手机上,至于短信内容,则由C&C控制。
包含短信命令的响应
经过进一步分析,研究人员还发现恶意软件能窃取受害者手机上的短信,另外该功能还可用于窃取与银行相关的一次性密码代码(这样双重因素验证就不管用了)和其他相关信息。下图展示了此功能的实际用处:
窃取短信消息
盗取手机上的通讯录
该恶意软件还能够窃取受害者手机上的通讯录,这一恶意功能是用来进一步传播恶意软件的一种著名技术,叫做SMS-Phishing (或SMiShing)。
盗取手机上的通讯录
呼叫功能
该恶意软件还具有通话功能,在下面的例子中,被拨出的号码是以C&C服务器以编码的方式发送过来的。
呼叫功能的实现
研究人员注意到的一个更有趣的事情是恶意软件传播的方式,每当研究人员访问链接时,他们都会看到一个新的恶意应用程序,这些应用程序的功能和RuMMS 2.0一模一样,只是具有不同的应用程序名称,不同的软件包名称,甚至使用不同的Android证书签名。研究人员还发现,应用程序具有不同的C&C服务器,其格式为http://<domain-name>.com/<random-chars>/index.php。 以下为研究人员发现的与C&C服务器关联的域名:
总结
RuMMS 2.0具有很多增强功能和更新的功能,目前迭代的RuMMS已经全面投入使用。在2018年5月的最后10天,Zscaler ThreatlabZ团队发现了580多个类似的应用程序,已在野外被利用。因此,小编建议清除未知链接,不要相信任何通过短信或电子邮件收到的可疑网址,只能从官方应用商店下载应用。另外,580多个类似的应用程序的完整列表可以在这里找到。