自殺式“埋雷”,微信埋雷專家病毒分析
前言
近日,平臺監測到一種新型病毒,安裝名稱為”微信埋雷專家”,經過安全人員分析研究,發現該病毒偽裝成可以操控微信紅包埋雷的外掛軟體,誘騙使用者安裝並開啟危險許可權,病毒程式會將使用者微信支付所需要的賬號資訊(自動開啟微信並找到微信賬號資訊介面截圖並上傳ftp),登陸微信所需要的驗證碼(讀取簡訊並上傳),微信支付密碼(誘騙使用者輸入並上傳ftp),導致使用者的財產損失。
首先我們先了解下微信紅包埋雷是什麼意思?
埋雷是微信新出來的一種紅包玩法,在增加出現的雷數量外還附帶一個自動搶自己尾巴包的功能,自己尾包是雷的話就不會搶,不是雷的話就自己搶。
舉個例子:
先發紅包比如10元的包發10個,讓尾號1為雷。
別人搶完之後,位數有1,就要給你發10元,不限人數。
微信紅包埋雷本來只是朋友家人之間用於娛樂的小手段,不法分子利用少部分人貪圖便宜的不良心理,傳播該病毒達成其盜取他人財產的目的。
一、自殺式“埋雷”病毒概述
1.1 病毒應用
經研究發現其同源頭同類型的病毒名稱還有微信排雷專家、qq排雷專家、qq埋雷專家、6k搶紅包王、qq搶紅包王、微信閒家牛牛、qq閒家牛牛、棋牌專家、棋牌牛牛、麻將專家、微信秒搶專家。qq秒搶專家等。
1.2 病毒行為
竊取使用者支付密碼、微信資訊、簡訊等,上傳伺服器
欺騙使用者開啟許可權,導致無法被正常解除安裝
鎖屏勒索
1.3 病毒實施盜取資訊整體流程
病毒安裝後誘騙使用者在其主介面輸入微信支付密碼並開啟檢測視窗許可權,然後分別竊取使用者手機上微信的賬號資訊和簡訊資訊,將竊取的資訊上傳至網上架設好的ftp平臺上,造成使用者的錢財損失,如圖1-1病毒整理執行流程所示。
圖1-1 病毒整理執行流程
二、自殺式“埋雷”病毒行為分析
2.1 病毒安裝圖示及主介面
圖2-1 病毒圖表及執行截圖
病毒執行時為了欺騙使用者編寫了假裝正在運算的假象,如圖2-2 計算模式假象所示:
圖2-2 計算模式假象
然而事實上病毒程式顯示正在計算中的所有內容都是事先已經寫入程式的圖片(如圖2-3 內建假象所示),由此可證明該病毒所顯示的功能都是用於欺騙使用者以達到其不可告人的目的。
圖2-3 內建假象
2.2 無法被正常解除安裝
當點選主介面上開啟埋雷服務按鍵的時候,病毒程式會要求使用者開啟一定的許可權。(如圖2-4 請求許可權所示)
圖2-4 請求許可權
病毒程式裡檢測開啟許可權的程式碼(如圖2-5 請求許可權程式碼所示):
圖2-5 請求許可權程式碼
當用戶開啟以上許可權的時候,使用者已經不能通過正常的渠道去解除安裝該病毒,每當使用者拖動病毒圖示解除安裝或者開啟管理軟體解除安裝該病毒的時候,該病毒通過監測手機使用者的操作開啟的解除安裝病毒的視窗,會自動檢測視窗內容並點選取消解除安裝按鍵,關閉解除安裝過程。(如圖2-6 點選關閉解除安裝程式碼所示)
圖2-6 點選關閉解除安裝程式碼
2.3 盜竊使用者各類資訊
2.3.1 病毒FTP資訊
病毒程式涉及到的FTP伺服器,經分析人員驗證,第一次登陸ftp平臺成功,ftp資訊真實有效,然而之後卻無法登陸,疑似病毒傳播者發現情況已經更改資訊。
圖2-7 ftp平臺資訊
2.3.2 誘騙使用者竊取支付資訊
病毒程式提示需要使用者輸入自己的微信紅包支付密碼,並將使用者微信支付密碼並上傳ftp,誘騙截圖如圖2-8 提示輸入密碼所示。
圖2-8 提示輸入密碼
病毒程式獲取使用者輸入的微信支付密碼,如圖2-9 提示輸入程式碼所示。
圖2-9 提示輸入程式碼圖
將獲取的微信支付密碼上傳至ftp平臺中,如圖2-10 上傳密碼圖所示。
圖2-10 上傳密碼
2.3.3 竊取使用者手機相簿
病毒程式會將手機相簿內的所有圖片上傳至ftp,具體程式碼如圖2-11 上傳相簿
圖2-11 上傳相簿
2.3.4 竊取微信資訊
病毒會自動開啟微信,進入微信賬號等介面並截圖然後將截圖上傳至ftp,導致微信所有信息被竊取。
判斷當前的微信介面並截圖程式碼如圖2-12 判斷微信並截圖程式碼所示。
圖2-12 判斷微信並截圖程式碼
將截圖上傳至ftp程式碼如圖2-13 上傳截圖程式碼所示。
圖2-13 上傳截圖程式碼
2.3.5 竊取簡訊資訊
病毒會將使用者的簡訊內容及收件人,發件人資訊都上傳到ftp平臺,並且每當使用者手機收發資訊的時候病毒就會啟動,具體如圖2-14 上傳簡訊資訊程式碼所示。
圖2-14 上傳簡訊資訊程式碼
2.4 遠端遙控會鎖屏勒索(未啟用)
病毒程式的程式碼中發現了鎖屏程式碼,如圖2-15 鎖屏程式碼所示:
圖2-15 鎖屏程式碼
解鎖所需要的密碼,如圖2-16 鎖屏密碼程式碼所示:
圖2-16 鎖屏密碼程式碼
2.5 防範及處置建議
1. 建議使用者提高警覺性,使用軟體請到官網下載。到應用商店進行下載正版軟體,避免從論壇等下載軟體,可以有效的減少該類病毒的侵害。關注”暗影實驗室”公眾號,獲取最新實時移動安全狀態,避免給您造成損失和危害。 2. 為防止病毒變種,使用者發現已經安裝此病毒的,可以請專業人員分析此病毒。 3. 安全需要做到防患於未然,可以使用恆安嘉新公司的APP威脅檢測與態勢分析平臺進行分析對Android樣本提取資訊並進行關聯分析和檢測; 4. 使用者發現感染手機病毒軟體之後,可以向“12321網路不良與垃圾資訊舉報受理中心”或“中國反網路病毒聯盟”進行舉報,使病毒軟體能夠第一時間被查殺和攔截。
宣告:
本報告內容不代表任何企業或任何機構的觀點,僅是作者及所在團隊作為技術愛好者在工作之餘做的一些嘗試性研究和經驗分享。
本報告雖是基於技術團隊認為可靠的資訊撰寫,團隊力求但不保證該資訊的準確性和完整性,讀者也不應該認為該資訊是準確和完整的。這是主要是因為如下一些理由(包括但不限於):
第一,網際網路的資料無處不在,我們所能接觸到的是極為有限的抽樣樣本,本身不具備完整性。
第二,不同的技術方法獲取的資料有一定的侷限性。比如,終端agent獲取的資料只能涵蓋已部署終端的範圍;爬蟲技術的時效性和完整性受限於爬蟲的規模和能力;網路側探針技術受限部署探針的節點數量並只能對活躍的行為進行感知。
第三,即使已經納入到分析範圍的樣本,也會由於技術團隊規則和演算法的選擇造成統計結論偏差。
第四,技術團隊所得出的結論僅僅反映其數字本身,進一步主觀得出優劣性的、排名性的、結論性的觀點是危險的。因為安全事件往往伴隨著業務的良性增長,開放程度,法律法規以及黑色產業鏈的演進等多方面的因素,是一個複雜的生態問題。
此外,團隊不保證文中觀點或陳述不會發生任何變更,在不同時期,團隊可發出與本報告所載資料、意見及推測不一致的報告。團隊會適時更新相關的研究,但可能會因某些規定而無法做到。
最後,即使未經作者的書面授權許可,任何人也可以引用、轉載以及向第三方傳播。但希望同時能附上完整的原文或至少原始出處。這樣的考慮在於:第一,避免選擇性的部分引用造成的不必要的誤解;其次,避免某些內容的錯誤經原作者發現並及時調整後沒有體現在轉載的文中。
感謝大家的理解!
*本文作者:暗影安全實驗室,轉載請註明來自FreeBuf.COM