安天AVL Team 移动安全团队

首次发布时间：2015年05月15日 15时02分
本版本更新时间：2015年05月15日 21时13分
当前最新版本：V2.1

1. 概述

2015年5月14日23时19分，安天安全研究与应急处理中心（安天CERT）接到一例用户的求助，该用户收到一条短信，并点击其中包含的URL之后，向多人发出同样带有URL短信，遂向安天值班人员求助。安天CERT值守工程师将相关短信转安天AVL TEAM移动安全团队，供获取样本进行分析，并为用户完成现场处置。
安天相关分析小组马上对该病毒进行了快速分析，发现该病毒为最近两年在国内肆虐的短信拦截马的一个新变种。短信拦截马的主要传播过程是，攻击者把木马上传到某个站点，攻击者构造带有木马下载地址的相关短信进行初始传播。如果有用户点击URL后，导致下载木马并安装，木马执行后，将对用户通讯录中的人员继续发送带有样本下载URL的短信，导致接力式传播。
这些短信拦截马中的URL多半是利用了短URL服务构造服务，常见内容形式有 "XXX昔日照片发你，望珍藏www.dwz.cn/*****惊喜哦，要点击允许，不然看不到"；"XXX你看都是你干的好事，想不到你怎么能干出这种事情来，你自己进去看看就知道怎么回事了。http://139url.cn/*****"。(如下图)

根据安天对相关木马和事件的跟踪分析来看，短信拦截马有如下威胁特点。
1、 攻击者可能最初通过伪基站、"土炮"等方式进行大量初始的散布。
2、 短信内容采用一定的社会工程技巧，同时基于通讯录信任链传播，同时又从通讯录中提取了接受人的姓名或称呼等信息，进行短信的针对性定制，增加了接收者点击的概率。
3、 感染用户的通讯录、短信记录等信息被木马上传，导致攻击者获取通讯录后，亦可根据通讯录信息构造初始的定制化短信，为进行再一轮传播提供了进一步的便利。
4、 有的木马变种为了避免被用户发现，其拦截用户短信接收，以使用户在对方收到带有木马URL的短信后，无法收到求证短信。

2. 事件样本情况综述

病毒英文命名	Trojan/Android.emial.as[rmt,prv,exp]
中文命名	短信拦截马
危害等级	高
文件MD5	5BBBE057FEEF93FC968B02CEAFD478F3
包名	com.artifac.tools
程序图标
发现时间	2015年5月14日

2.1 恶意行为

该木马一旦被用户安装，运行，则会执行以下恶意行为：
 ·隐藏图标
 ·激活设备管理器以防止被卸载
 ·上传用户手机号
 ·上传用户IMEI
 ·上传用户设备型号
 ·上传用户手机是否ROOT及是否安装了360
 ·上传用户所有短信记录
 ·上传用户手机/SIM联系人信息
此外，该木马还开启了后门，黑客通过此后门，可以通过网络控制木马执行以下恶意操作：
 ·拦截短信
 ·删除短信
 ·转发短信
 ·上传所有短信记录
 ·向指定号码发送指定内容短信

2.2 恶意服务器

该木马会将用户手机上的短信记录、联系人记录等隐私信息全部编码后上传至服务器，该服务器的信息如下：
 域名： cdn.yunguangli.com
 上传隐私所用网址：http://cdn.yunguangli.com/WebApi/Index
 IP地址：121.190.105.142
 服务器所在地：韩国
 管理员名称: ming lan
 管理员Street: he fei shi lu yang qu fu nan lu 40 hao
 管理员城市: chengdushi
 管理员州/省份: Anhui
 管理员邮编: 323442
 管理员Country: China
 管理员电话号码: +86.01088439925

3.短信拦截马恶意代码

3.1 动态分析

程序运行后激活设备管理器，然后会隐藏图标，并将用户手机号、IMEI、设备型号、是否Root、是否安装360等信息编码后上传至服务器cdn.yunguangli.com：

3.2 静态分析

3.2.1 激活设备管理器、隐藏图标

一旦运行该木马，则该木马会隐藏自身图标，请求激活设备管理器以防止被卸载；当这些操作都执行完后，发送一个对话框欺骗用户，应用因与手机不兼容而安装失败，实际保持后台运行。
后台启动GameService服务：

3.2.2 上传隐私信息

启动服务后开始动态注册短信拦截器、开始上传用户手机号、IMEI、设备型号以及手机是否Root、手机是否安装360的数据；
Com/artifac/image/GameService-> onCreate():

Com/artifac/image/GameService-> onStartCommand

判断手机是否Root：

判断手机是否装了360

最后对以上数据进行上传，上传的网址如动态分析所示：
http://cdn.yunguangli.com/WebApi/Index

3.2.3 留后门以远程操控

联网获取json数据，取得"type"和"phone"字段数据，这里会根据不同"type"的值进行获取用户设备ID、拦截短信、删除短信、通过Base64加密上传用户短信、联系人等操作。

短信设置已读：

通过json数据执行以下操作：
 读取联系人
 上传短信库记录
 上传联系人信息
 删除指定短信
 根据指令向指定号码发送指定内容短信

上传联系人信息的具体代码如下：

上传短信的具体代码如下：

删除短信的具体代码如下：

4 查杀与防护建议

安天安全工程师提醒您：该病毒一旦被安装运行在手机上就隐藏于后台，对用户的所有短信信息进行窃取上传至后台服务器，会严重损害用户的隐私；同时后台会操控用户手机向联系发送包含木马下载地址的URL，引诱目标人群下载安装以达到扩散目的。
因此，安天工程师建议用户通过以下方式对该类恶意代码进行查杀和防治：
1、 本病毒进行了一个自我保护措施，而由于智能手机环境与PC不同，移动安全软件与其他应用处于"平权"状态，因此如果手机已经中毒，常规的(安全软件)方式无法正常卸载木马，因此请参考以下步骤进行卸载：
首先点击设置，进入安全/设备管理器，取消这个应用的设备"相册"管理器权限。

接着，进入应用管理界面，找到"相册"这个应用，点击这个应用，可以看到卸载选项，点击卸载即可。当然亦可用安全产品扫描卸载相关样本。

安天移动安全工程师同时建议用户：
 原则上不要点击任何短信中的URL，无论其中是何内容，包括但不限于任何以"相册"、"订单"、"移动积分兑换"等信息，鉴于攻击者可以采用伪基站发送短信，即使显示为官方客服号码的短信，也同样需要警惕；对"熟人"发送的短信带有URL要格外警惕，因为他的手机可能已经被感染。

 应谨慎授予应用管理权限、Root权限，在不了解应用的前提下，不能给任何应用设备管理器和Root权限。

 建议在设置中禁止安装来自未知来源的应用，在必须要安装时可以临时打开在关闭。这样对误点URL的情况下能形成保护。

 建议用户在手机端安装安全软件以防护手机安全，定时更新安全软件病毒库以及进行手机安全检测。

 

 

 

附录一. 关于安天

安天是专业的下一代安全检测引擎研发企业，安天的检测引擎为网络安全产品和移动设备提供病毒和各种恶意代码的检测能力，并被超过十家以上的著名安全厂商所采用，全球有数万台防火墙和数千万部手机的安全软件内置有安天的引擎。安天获得了2013年度AV-TEST年度移动设备最佳保护奖。依托引擎、沙箱和后台体系的能力，安天进一步为行业企业提供有自身特色的基于流量的反APT解决方案。
本报告由安天AVL Team移动安全团队编写，AVL Team是安天旗下独立移动安全技术企业，其前身是安天武汉研发中心。主要研究方向包括移动终端反病毒引擎开发、移动互联网安全研究，以及其他新兴安全领域研究等，是国内移动无线互联网安全领域研发的新锐力量。

微信扫描关注 安天

微信扫描关注 安天AVL TEAM

 

附录二：事件响应更新日志

 

更新日期	报告更新版本	更新内容
2015-5-15  23:19	N/A	接到用户求助，启动响应。
2015-5-15  11:09	V0.1	文档创建、结构设计、恶意代码分析撰写。
2015-5-15  15:43	V0.2	恶意代码分析补充，调整结构。
2015-5-15  17:02	V1.0	整体文档修订与校对，发布初稿。
2015-5-15  19:11	V2.0	修改概述及查杀防护建议。