Geost,一种由Stratosphere实验室的SebastianGarcía、Maria Jose Erquiaga和Anna Shirokova在追踪HtBot僵尸网络时发现的新型安卓银行木马。
据称,在2019年至少有80万部移动设备成为HtBot僵尸网络的牺牲品,其中绝大多数受害者都是俄罗斯银行的客户。
近日,网络安全公司趋势科技对捕获的Geost样本进行了逆向工程,旨在帮助大家对这种新型安卓银行木马有一个更深入的了解。
技术分析根据趋势科技的说法,Geost隐藏在某些恶意APP中。这些APP在启动后会请求一系列权限,而一旦受害者同意授予,就会遭到感染。
例如,由趋势科技捕获的Geost样本就隐藏在一款名为“установка”(相当于中文中的“设置”)的恶意APP中。
该APP盗用了谷歌应用商店Google Play的图标来伪装自己,且图标在APP启动后将从手机屏幕上消失。
图1.使用Google Play图标的установка APP
在启动后,установка APP会请求设备管理员权限。这显然是不寻常的,因为合法APP通常都不会这么做。
一旦受害者点击“同意”,便会在不知不觉间授予Geost一些重要权限,包括对短信的访问权限,以及对来自网银APP的消息的访问权限。
通过读取这些消息,Geost便能够收集包括受害者姓名、余额以及其他和银行账户相关的详细信息。而只需要单击几下,攻击者便可以悄无声息地从受害者的银行账户中转移资金。
图2.请求设备管理员权限
图3.用于请求设备管理员权限的代码
如上所述,恶意APP在启动后还会隐藏自己的图标,目的是误导受害者认为该APP已经从手机上删除,进而隐藏其恶意行为。
为实现长久驻留,恶意APP还会为BOOT_COMPLETED和QUICKBOOT_POWERON广播进行注册。(APP可通过监听BOOT_COMPLETED和QUICKBOOT_POWERON实现自启动)
图4.注册服务以启动广播
至于Geost的完整功能,我们可以从其支持的命令列表看出,具体如下:
#conversations-从短信中收集各种信息,并上传到C&C服务器;#contacts-收集电话簿中联系人列表,并上传到C&C服务器;#calls-收集呼出的电话,并上传到C&C服务器;#apps-收集已安装APP的名称,并上传到C&C服务器;#bhist-<在此样本中未启用>;#interval {set:number}-设置获取C&C服务器命令的时间段;#intercept-设置拦截来自指定号码的短信(全部或指定号码);#send id:, to:, body:-发送短信;#ussd {to:address, tel:number}-通过USSD框架拨打电话;#send_contacts-发短信给电话簿中的所有联系人;#server-设置运行时间;#check_apps {path:uri_to_server}-将正在运行的APP列表上传到C&C服务器,从参数中定义为error.zip的路径下载archive.zip文件,然后将其解压缩;#send_mass {messages: {to:address, body:text}, delay:ms}-同时发送多条短信给不同的联系人;#lock-从ClearServiceRunnable启动RLA服务,以拦截AKEYCODE_HOME、KEYCODE_CAMERA和AKEYCODE_FOCUS事件,以及拦截onBackPressed(),使铃声静音,清除所有短信通知等;#unlock-禁用#lock命令,并通过终止ClearServiceRunnable来解锁手机;#makecall {number:tel_number}-使用标准的android.intent.action.CALL API拨打电话;#openurl {filesDir=j:url}-打开指定网页;#hooksms {number:tel_number}-挂接到号码,即将所有收到的短信转发到参数中的号码;#selfdelete-将任务时间设置为无法解析的字符串值,这将导致调度任务停止。图5. C&C命令列表
结语内嵌Geost木马的恶意APP出现再次提醒我们,在安装某款APP时,一定要仔细查看它所请求的权限。当然,尽量从官方渠道下载所需的APP仍是你最正确的选择。
