Rotexy銀行勒索軟體的演變
Rotexy家族的移動木馬在2018年8月至10月的三個月內,針對位於俄羅斯的使用者發起了70,000多起攻擊。
這個銀行特洛伊木馬家族的一個特徵是可以同時接收三個不同來源發起的指令:
1.Google Cloud Messaging(GCM)服務 – 該服務用於通過Google伺服器將 JSON格式的資訊傳送到移動裝置;
2.惡意C&C伺服器;
3.遠端控制簡訊。
這種“多功能性”出現在Rotexy的最初版本中,並且被該家族持續使用。通過研究發現,這個木馬是由2014年10月首次發現的簡訊間諜軟體發展而來的。當時它被檢測惡意型別為Trojan-Spy.AndroidOS.SmsThief,但後來變更為另一型別 – Trojan-Banker.AndroidOS.Rotexy。
Rotexy的當前版本結合了銀行特洛伊木馬和勒索軟體的功能。它通過youla9d6h.tk,prodam8n9.tk,prodamfkz.ml,avitoe0ys.tk等網站傳播惡意載荷,載荷名稱為AvitoPay.apk或其他類似命名。這些網站域名是根據明確的演算法生成的:前幾個字母暗示熱門的分類廣告服務,其次是隨機字串,最後是兩個字母的頂級域名。在詳細介紹Rotexy的最新版本以及它的獨特之處之前,先簡要介紹自2014年以來該家族木馬的演變過程。
Rotexy的演變過程
2014年-2015年
自2014年檢測到該家族的惡意程式以來,其主要功能和傳播方法沒有改變:通過釣魚簡訊中的惡意連結進行載荷投遞,提示使用者安裝應用程式。在啟動時,它會請求裝置管理員許可權,隨後與惡意C&C伺服器進行通訊。DEX檔案中的典型型別列表為:
直到2015年中期,Rotexy使用純文字JSON格式與其C&C進行通訊。C&C地址在程式碼中以明文顯示,未進行加密:
在某些版本的程式碼中會動態生成低階域名用作C&C地址:
在惡意軟體被使用者安裝後,該木馬將受感染裝置的IMEI資訊傳送到C&C伺服器,隨後它會以簡訊形式收到一套用於檢測受害者所接收簡訊是否可利用的規則(包含電話號碼,關鍵字和正則表示式),這些規則主要可以識別來自銀行,支付系統和行動網路運營商發來的簡訊。例如,該木馬可以根據簡訊內容自動回覆並立即將其刪除。
接著,Rotexy將受害者手機的資訊傳送給C&C,內容包括手機型號,號碼,行動網路運營商名稱,作業系統版本和IMEI。
該木馬每發起一個請求,就會生成一個新的子域名進行通訊,生成該域名的演算法被硬編在程式碼中。
Rotexy木馬還在Google雲訊息傳遞服務中進行了註冊,這意味著它可以通過該服務接收命令。Rotexy木馬的命令列表在這些年裡幾乎保持不變,具體命令語句會在文章後面進行詳解。
木馬的assets資料夾包含檔案data.db,檔案包含PAGE命令的User-Agent欄位的可能值列表(下載指定的網頁的地址)。如果該欄位的值未能從C&C獲取,則使用偽隨機演算法從檔案data.db中選擇它。
data.db的內容為:
2015年-2016年
從2015年年中開始,Rotexy木馬開始使用AES演算法加密受感染裝置與C&C之間通訊的資料:
資料在POST請求中被髮送到格式為“/ [number]”的相對地址(偽隨機生成的數字,範圍為0-9999)。
在某些樣本中,從2016年1月開始,已經實現了一種用於從資原始檔夾中解壓加密的DEX檔案的演算法。但在此版本的Rotexy中,未使用動態生成最低階域名的辦法。
從2016年中期開始,攻擊者重新開始使用動態生成的最低階域名的辦法。
在2016年末,出現了包含在assets / www資料夾中的card.html網路釣魚頁面。該頁面旨在竊取使用者的銀行卡詳細資訊:
2017年-2018年
從2017年初開始,釣魚頁面bank.html,update.html和extortionist.html開始出現在assets資料夾中。此外,在某些版本的特洛伊木馬中,檔名是隨機字串。
在2018年,Rotexy的新版本中出現由隨機字串和數字組成的“一次性”域名,這些隨機域名的一級域名為.cf,.ga,.gq,.ml或.tk。
這時,Rotexy木馬也開始積極使用了不同的混淆方法。例如,DEX檔案包含垃圾字串的簡單and/or操作,幷包含用於從APK解密可執行檔案的金鑰。
最新版本分析
以SHA256:ba4beb97f5d4ba33162f769f43ec8e7d1ae501acdade792a4a577cd6449e1a84樣本為例進行分析。
應用程式啟動
Rotexy通過簡訊傳播,其中包含應用程式下載連結和一些引人注目的文字,這些內容會提示使用者點選連結並下載應用程式。在某些情況下,這些訊息是從朋友的電話號碼發過來的,這就讓受害者毫無防備並點選連結。
感染裝置後, Rotexy會檢查它已經登入的裝置,檢測內容包括查它是否在模擬環境中啟動,以及它在哪個國家/地區啟動。如果惡意軟體檢測到它是在模擬器中執行而不是在真正的智慧手機上執行,它就會無限迴圈應用程式初始化。
在這種情況下,特洛伊木馬的日誌進行俄語記錄,內容包括語法錯誤和拼寫錯誤:
如果檢查成功,Rotexy則將向GCM進行註冊並啟動SuperService,以跟蹤特洛伊木馬是否具有裝置管理員許可權。
如果未允許管理員狀態,SuperService還會跟蹤自己的狀態和重新啟動。它每秒執行一次特權檢查; 如果管理員許可權不可用,特洛伊木馬會在無限迴圈中開始向用戶請求它們。如果使用者同意並嚮應用程式提供所請求的許可權,則會隱藏其圖示並顯示該頁面:
如果木馬檢測到使用者試圖撤銷其管理員許可權,則會立即開始關閉電話螢幕,嘗試停止使用者操作。如果成功撤銷許可權,則特洛伊木馬會重新啟動請求管理員許可權的週期。如果由於某種原因,當試圖撤銷裝置管理員許可權時,SuperService不能關閉螢幕,則特洛伊木馬會試圖威脅使用者。
在執行時,Rotexy會跟蹤以下內容:
1.開啟並重啟手機;
2.終止其運作 – 在這種情況下,它重新啟動;
3.應用程式傳送簡訊 – 在這種情況下,手機將切換到靜音模式。
C&C通訊
預設的C&C地址在Rotexy程式碼中是硬編的:
木馬將從裝置傳送資訊的地址以偽隨機方式生成。
木馬將有關C&C伺服器的資訊以及從受感染裝置收集的資料儲存在本地SQLite資料庫中。
首先,特洛伊木馬在管理面板中註冊,並從C&C接收操作所需的資訊(SMS攔截模板和將在HTML頁面上顯示的文字):
Rotexy攔截所有傳入的SMS,並根據從C&C收到的模板處理它們。此外,當簡訊到達時,特洛伊木馬會將手機置於靜音模式並關閉螢幕,以便使用者不會注意到新簡訊已到達。在需要時,特洛伊木馬會將SMS傳送到指定的電話號碼,並使用從截獲的訊息中收到的資訊。(在攔截模板中指定是否必須傳送回覆,以及應將哪個文字傳送到哪個地址。)如果應用程式未收到有關處理傳入SMS的規則的說明,則只會將所有SMS儲存到本地資料庫並將它們上傳到C&C。
除了有關裝置的一般資訊外,木馬還會將所有正在執行的程序和已安裝的應用程式列表傳送給C&C。
Rotexy收到相應的命令後會執行進一步的操作:
START,STOP,RESTART – 啟動,停止,重啟SuperService。
URL – 更新C&C地址。
MESSAGE – 將包含指定文字的SMS傳送到指定的號碼。
UPDATE_PATTERNS – 在管理面板中重新註冊。
UNBLOCK – 取消阻止電話(撤消應用程式的裝置管理員許可權)。
UPDATE- 從C&C下載APK檔案並安裝它。此命令不僅可用於更新應用程式,還可用於在受感染裝置上安裝任何其他軟體。
CONTACTS – 將從C&C收到的文字傳送給所有使用者聯絡人。這很可能是應用程式的傳播方式。
CONTACTS_PRO – 從地址簿中請求聯絡人的唯一訊息文字。
PAGE – 使用也從C&C或本地資料庫收到的User-Agent值從C&C收到的聯絡URL。
ALLMSG – 傳送C&C使用者收到和傳送的所有簡訊,儲存在手機記憶體中。
ALLCONTACTS – 將所有聯絡人從手機記憶庫傳送到C&C。
ONLINE – 將有關特洛伊木馬當前狀態的資訊傳送給C&C:是否具有裝置管理員許可權,當前顯示的HTML頁面,螢幕是開啟還是關閉等。
NEWMSG – 將SMS寫入裝置儲存器,其中包含從C&C傳送的文字和發件人編號。
CHANGE_GCM_ID – 更改GSM ID。
BLOCKER_BANKING_START – 顯示用於輸入銀行卡詳細資訊的網路釣魚HTML頁面。
BLOCKER_EXTORTIONIST_START – 顯示勒索軟體的HTML頁面。
BLOCKER_UPDATE_START – 顯示虛假的HTML頁面以進行更新。
BLOCKER_STOP – 阻止顯示所有HTML頁面。
該木馬會攔截攻擊者傳入的SMS,並可以從它們接收以下命令:
“3458” – 撤消應用中的裝置管理員許可權;
“hi”,“ask” – 啟用和禁用移動網際網路;
“privet”,“ru” – 啟用和禁用Wi-Fi;
“check” – 將文字“install:[device IMEI] ”傳送到傳送簡訊的電話號碼;
“stop_blocker” – 停止顯示所有阻止的HTML頁面;
“393838” – 將C&C地址更改為SMS中指定的地址。
如何解鎖感染了Rotexy的智慧手機
Rotexy沒有對SMS的命令產生號碼校驗。這意味著任何手機發來的指令都會被執行。如果手機被該病毒感染,使用者可以:
1.傳送“393838”到被感染的手機。Rotexy會將此解釋為將C&C伺服器的地址更改為空,並且將停止接收網路犯罪分子指令。
2.然後傳送“3458”。這將取消管理員許可權。
3.最後,傳送“stop_blocker”。此命令將強制Rotexy刪除擋住螢幕的網站或頁面。
如果在此之後,Rotexy還請求管理員許可權,只需以安全模式重啟裝置,轉到應用程式管理器或應用程式和通知,並從裝置中刪除惡意軟體。
Rotexy攻擊的地理位置
98%的Rotexy攻擊都針對俄羅斯的使用者。該特洛伊木馬明確針對使用俄語的使用者群體,因此實際上,烏克蘭,德國,土耳其和其他幾個國家的使用者也受到影響。
IOC
SHA256
0ca09d4fde9e00c0987de44ae2ad51a01b3c4c2c11606fe8308a083805760ee7 4378f3680ff070a1316663880f47eba54510beaeb2d897e7bbb8d6b45de63f96 76c9d8226ce558c87c81236a9b95112b83c7b546863e29b88fec4dba5c720c0b 7cc2d8d43093c3767c7c73dc2b4daeb96f70a7c455299e0c7824b4210edd6386 9b2fd7189395b2f34781b499f5cae10ec86aa7ab373fbdc2a14ec4597d4799ba ac216d502233ca0fe51ac2bb64cfaf553d906dc19b7da4c023fec39b000bc0d7 b1ccb5618925c8f0dda8d13efe4a1e1a93d1ceed9e26ec4a388229a28d1f8d5b ba4beb97f5d4ba33162f769f43ec8e7d1ae501acdade792a4a577cd6449e1a84 ba9f4d3f4eba3fa7dce726150fe402e37359a7f36c07f3932a92bd711436f88c e194268bf682d81fc7dc1e437c53c952ffae55a9d15a1fc020f0219527b7c2ec
С&C
2014–2015: secondby.ru darkclub.net holerole.org googleapis.link 2015–2016: test2016.ru blackstar.pro synchronize.pw lineout.pw sync-weather.pw 2016 freedns.website streamout.space 2017–2018: streamout.space sky-sync.pw gms-service.info